Vulnerabilidades

Motorola ACE1000 RTU versiones hasta 02-05-2022, presenta credenciales por defecto. Expone una interfaz SSH en el puerto 22/TCP. Esta interfaz es usada para el mantenimiento remoto y para las operaciones de transferencia de archivos SFTP que forman parte de la funcionalidad del software de ingeniería. El acceso a esta interfaz está controlado por 5 cuentas preconfiguradas (root, abuilder, acelogin, cappl, ace), todas ellas con credenciales por defecto. Aunque la documentación del ACE1000 menciona las cuentas root, abuilder y acelogin e instruye a usuarios para que cambien las credenciales por defecto, las cuentas cappl y ace permanecen sin documentar y, por lo tanto, es poco probable que sean cambiadas sus credenciales

Motorola ACE1000 RTU versiones hasta 02-05-2022, usa el cifrado ECB de forma no segura. Puede comunicarse con una pasarela XRT de LAN a radio por medio de un cliente integrado. Las credenciales para acceder a esta pasarela son almacenadas después de ser encriptadas con el algoritmo de encriptación Tiny (TEA) en modo ECB usando una clave embebida. Del mismo modo, la RTU ACE1000 puede rutar el tráfico MDLC a través de las redes Extended Command and Management Protocol (XCMP) y Network Layer (XNL) por medio del controlador MDLC. La autenticación al puerto XNL está protegida por TEA en modo ECB usando una clave embebida

Motorola ACE1000 RTUs versiones hasta 02-05-2022, manejan inapropiadamente la integridad de las aplicaciones. Permiten la instalación de aplicaciones personalizadas por medio del software STS, el kit de herramientas C o el ACE1000 Easy Configurator. En el caso del Easy Configurator, las imágenes de las aplicaciones (como archivos PLX/DAT/APP/CRC) son cargadas por medio de la Interfaz de Usuario Web. En el caso del kit de herramientas C, son transferidas e instaladas mediante SFTP/SSH. En cada caso, las imágenes de la aplicación no tenían autenticación (en forma de firma de firmware) y sólo eran basadas en sumas de comprobación no seguras para las comprobaciones de integridad periódicas

Motorola ACE1000 RTU hasta el 2022-05-02, maneja inapropiadamente la integridad del firmware. usa el paquete de software STS o el ACE1000 Easy Configurator para llevar a cabo las actualizaciones de firmware. En el caso del Easy Configurator, las actualizaciones de firmware son llevadas a cabo mediante el acceso a la Interfaz de Usuario Web, donde pueden instalarse imágenes del sistema de archivos, del kernel, del paquete, del bundle o de la aplicación. Las actualizaciones de firmware para el módulo del procesador frontal (FEP) son llevadas a cabo por medio del acceso a la interfaz SSH (22/TCP), donde es transferida una imagen de archivo .hex y es invocado un script del cargador de arranque. Las actualizaciones del sistema de archivos, el kernel, los paquetes y los bundles se suministran como archivos RPM (RPM Package Manager), mientras que las actualizaciones del FEP son suministradas como archivos S-rec. En todos los casos, se ha detectado que las imágenes de firmware no tenían autenticación (en forma de firma de firmware) y sólo son basadas en sumas de comprobación no seguras para las comprobaciones regulares de integridad

Motorola ACE1000 RTU versiones hasta 02-05-2022, viene con una clave privada SSH embebida y los scripts de inicialización (como /etc/init.d/sshd_service) sólo generan una nueva clave si no se presenta un archivo de clave privada. Por lo tanto, es probable que esta clave embebida sea usada por defecto

Motorola MOSCAD and ACE line of RTUs versiones hasta 02-05-2022, omiten un requisito de autenticación. Cuentan con módulos de puerta de enlace IP que permiten la interconexión entre las redes de Comunicación de Enlace de Datos de Motorola (MDLC) (potencialmente a través de una variedad de enlaces de serie, RF y/o Ethernet) y las redes TCP/IP. La comunicación con las RTU detrás de la pasarela es realizado mediante el protocolo propietario IPGW (5001/TCP). Este protocolo no presenta ninguna característica de autenticación, lo que permite a cualquier atacante capaz de comunicarse con el puerto en cuestión invocar (un subconjunto de) la funcionalidad deseada

La aplicación QQ versión 8.7.1 para Android e iOS no aplica los requisitos de permiso (por ejemplo, android.permission.ACCESS_FINE_LOCATION) para determinar la ubicación física del dispositivo. Un atacante puede usar qq.createMapContext para crear un objeto MapContext, usar MapContext.moveToLocation para mover el centro del mapa a la ubicación del dispositivo y usar MapContext.getCenterLocation para obtener la latitud y la longitud del centro del mapa actual

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. El acceso a las operaciones privilegiadas en la interfaz TELNET del puerto de mantenimiento (23/TCP) en los nodos de la serie M y SIS (CSLS/LSNB/LSNG) es controlado mediante contraseñas de utilidad. Estas contraseñas son generadas mediante un algoritmo determinista y no seguro usando un único valor semilla compuesto por una marca de tiempo de día/hora/minuto con menos de 16 bits de entropía. El valor de la semilla es alimentado mediante una tabla de búsqueda y una serie de operaciones de permutación resultando en tres contraseñas diferentes de cuatro caracteres correspondientes a diferentes niveles de privilegio. Un atacante puede reconstruir fácilmente estas contraseñas y así conseguir acceso a operaciones de mantenimiento privilegiadas. NOTA: esto es diferente de CVE-2014-2350.

Los PLC de las series CS, CJ y CP de Omron versiones hasta 18-05-2022, usan contraseñas en texto sin cifrar. Disponen de un ajuste de protección de UM que permite a usuarios o a integradores de sistemas configurar una contraseña para restringir las operaciones de ingeniería confidenciales (como las cargas y descargas de proyectos/lógicas). Esta contraseña es establecida mediante el comando OMRON FINS Program Area Protect y es desestablecida mediante el comando Program Area Protect Clear, ambos transmitidos en texto sin cifrar.

Los PLC de la familia de productos SYSMAC Nx de Omron (series NJ, NY, NX y PMAC) versiones hasta 18-05-2022, carecen de autenticación criptográfica. Estos PLC son programados usando el software de ingeniería SYMAC Studio (que compila el código POU conforme a la norma IEC 61131-3 en código máquina nativo para su ejecución por el tiempo de ejecución del PLC). El código máquina resultando es ejecutado por un tiempo de ejecución, normalmente controlado por un sistema operativo en tiempo real. La lógica que es descargada en el PLC no parece estar autenticada criptográficamente, permitiendo a un atacante manipular el código objeto transmitido al PLC y ejecutar código máquina arbitrario en el procesador del módulo CPU del PLC en el contexto del tiempo de ejecución. En el caso de al menos la serie NJ, es usada una combinación de RTOS y hardware que potencialmente permitiría la protección de la memoria y la separación de privilegios y, por tanto, limitaría el impacto de la ejecución de código. Sin embargo, no ha sido confirmado si éstos segmentan suficientemente el tiempo de ejecución del resto del RTOS.

Los PLC de la familia de productos SYSMAC Cx de Omron (series CS, CJ y CP) versiones hasta 18-05-2022, carecen de autenticación criptográfica. Usan el protocolo FINS (9600/TCP) de Omron para fines de ingeniería, incluida la descarga de proyectos y lógica de control al PLC. Este protocolo presenta fallos de autenticación, como es indicado en el documento FSCT-2022-0057. La lógica de control es descargada en la memoria volátil del PLC Usando los comandos FINS Program Area Read y Program Area Write o en la memoria no volátil Usando otros comandos desde donde puede ser cargado en la memoria volátil para su ejecución. La lógica que es cargada y ejecutada desde el área de programa de usuario se presenta en forma de código objeto compilado. Al ejecutarse, estos códigos objeto son pasados primero a un ASIC dedicado que determina si el código objeto debe ser ejecutado por el ASIC o por el microprocesador. En el primer caso, el código objeto es interpretado por el ASIC, mientras que en el segundo caso el código objeto es pasado al microprocesador para que sea interpretado por un intérprete ROM. En el caso anormal en el que el código objeto no puede ser manejado por ninguno de los dos, es desencadenada una condición anormal y el PLC es detenido. La lógica que es descargada en el PLC no parece estar autenticada criptográficamente, lo que permite a un atacante manipular el código objeto transmitido al PLC y ejecutar comandos de código objeto arbitrarios en el ASIC o en el intérprete del microprocesador.<br />

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. WIOC SSH proporciona acceso a un shell como root, DeltaV o copia de seguridad por medio de credenciales embebidas. NOTA: esto es diferente de CVE-2014-2350.