Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO (CVE-2022-29964)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
26/07/2022
Última modificación:
13/02/2024

Descripción

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. WIOC SSH proporciona acceso a un shell como root, DeltaV o copia de seguridad por medio de credenciales embebidas. NOTA: esto es diferente de CVE-2014-2350.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:emerson:deltav_distributed_control_system_sq_controller_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:deltav_distributed_control_system_sq_controller:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:deltav_distributed_control_system_sx_controller_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:deltav_distributed_control_system_sx_controller:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4002s1t2b6_high_side_40-pin_mass_i\/o_terminal_block_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:se4002s1t2b6_high_side_40-pin_mass_i\/o_terminal_block:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4003s2b4_16-pin_mass_i\/o_terminal_block_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:se4003s2b4_16-pin_mass_i\/o_terminal_block:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4003s2b524-pin_mass_i\/o_terminal_block_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:se4003s2b524-pin_mass_i\/o_terminal_block:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4017p0_h1_i\/o_interface_card_and_terminl_block_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:se4017p0_h1_i\/o_interface_card_and_terminl_block:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4017p1_h1_i\/o_card_with_integrated_power_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)
cpe:2.3:h:emerson:se4017p1_h1_i\/o_card_with_integrated_power:-:*:*:*:*:*:*:*
cpe:2.3:o:emerson:se4019p0_simplex_h1_4-port_plus_fieldbus_i\/o_interface_with_terminalblock_firmware:*:*:*:*:*:*:*:* 2022-04-29 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información