Vulnerabilidades

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. El acceso a las operaciones privilegiadas en la interfaz TELNET del puerto de mantenimiento (23/TCP) en los nodos de la serie M y SIS (CSLS/LSNB/LSNG) es controlado mediante contraseñas de utilidad. Estas contraseñas son generadas mediante un algoritmo determinista y no seguro usando un único valor semilla compuesto por una marca de tiempo de día/hora/minuto con menos de 16 bits de entropía. El valor de la semilla es alimentado mediante una tabla de búsqueda y una serie de operaciones de permutación resultando en tres contraseñas diferentes de cuatro caracteres correspondientes a diferentes niveles de privilegio. Un atacante puede reconstruir fácilmente estas contraseñas y así conseguir acceso a operaciones de mantenimiento privilegiadas. NOTA: esto es diferente de CVE-2014-2350.

Los PLC de las series CS, CJ y CP de Omron versiones hasta 18-05-2022, usan contraseñas en texto sin cifrar. Disponen de un ajuste de protección de UM que permite a usuarios o a integradores de sistemas configurar una contraseña para restringir las operaciones de ingeniería confidenciales (como las cargas y descargas de proyectos/lógicas). Esta contraseña es establecida mediante el comando OMRON FINS Program Area Protect y es desestablecida mediante el comando Program Area Protect Clear, ambos transmitidos en texto sin cifrar.

Los PLC de la familia de productos SYSMAC Nx de Omron (series NJ, NY, NX y PMAC) versiones hasta 18-05-2022, carecen de autenticación criptográfica. Estos PLC son programados usando el software de ingeniería SYMAC Studio (que compila el código POU conforme a la norma IEC 61131-3 en código máquina nativo para su ejecución por el tiempo de ejecución del PLC). El código máquina resultando es ejecutado por un tiempo de ejecución, normalmente controlado por un sistema operativo en tiempo real. La lógica que es descargada en el PLC no parece estar autenticada criptográficamente, permitiendo a un atacante manipular el código objeto transmitido al PLC y ejecutar código máquina arbitrario en el procesador del módulo CPU del PLC en el contexto del tiempo de ejecución. En el caso de al menos la serie NJ, es usada una combinación de RTOS y hardware que potencialmente permitiría la protección de la memoria y la separación de privilegios y, por tanto, limitaría el impacto de la ejecución de código. Sin embargo, no ha sido confirmado si éstos segmentan suficientemente el tiempo de ejecución del resto del RTOS.

Los PLC de la familia de productos SYSMAC Cx de Omron (series CS, CJ y CP) versiones hasta 18-05-2022, carecen de autenticación criptográfica. Usan el protocolo FINS (9600/TCP) de Omron para fines de ingeniería, incluida la descarga de proyectos y lógica de control al PLC. Este protocolo presenta fallos de autenticación, como es indicado en el documento FSCT-2022-0057. La lógica de control es descargada en la memoria volátil del PLC Usando los comandos FINS Program Area Read y Program Area Write o en la memoria no volátil Usando otros comandos desde donde puede ser cargado en la memoria volátil para su ejecución. La lógica que es cargada y ejecutada desde el área de programa de usuario se presenta en forma de código objeto compilado. Al ejecutarse, estos códigos objeto son pasados primero a un ASIC dedicado que determina si el código objeto debe ser ejecutado por el ASIC o por el microprocesador. En el primer caso, el código objeto es interpretado por el ASIC, mientras que en el segundo caso el código objeto es pasado al microprocesador para que sea interpretado por un intérprete ROM. En el caso anormal en el que el código objeto no puede ser manejado por ninguno de los dos, es desencadenada una condición anormal y el PLC es detenido. La lógica que es descargada en el PLC no parece estar autenticada criptográficamente, lo que permite a un atacante manipular el código objeto transmitido al PLC y ejecutar comandos de código objeto arbitrarios en el ASIC o en el intérprete del microprocesador.<br />

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. WIOC SSH proporciona acceso a un shell como root, DeltaV o copia de seguridad por medio de credenciales embebidas. NOTA: esto es diferente de CVE-2014-2350.

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022 hacen un uso inapropiado de las contraseñas. TELNET en el puerto 18550 proporciona acceso a un shell de root por medio de credenciales embebidas. Esto afecta a los nodos de la serie S, la serie P y CIOC/EIOC. NOTA: esto es diferente de CVE-2014-2350.

Los controladores del Sistema de Control Distribuido (DCS) de Emerson DeltaV y las tarjetas IO versiones hasta 29-04-2022, hacen un uso inapropiado de las contraseñas. El FTP presenta credenciales embebidas (pero a menudo puede estar deshabilitado en la producción). Esto afecta a los nodos de la serie S, la serie P y CIOC/EIOC. NOTA: esto es diferente de CVE-2014-2350.

El protocolo MDLC de Motorola versiones hasta 02-05-2022, maneja inapropiadamente la integridad de los mensajes. Soporta tres modos de seguridad: Simple, Encriptación Legada y Nueva Encriptación. En el modo Legacy Encryption, el tráfico es cifrado por medio del cifrado en bloque Tiny Encryption Algorithm (TEA) en modo ECB. Este modo de funcionamiento no ofrece la integridad de los mensajes y ofrece una confidencialidad reducida por encima del nivel de bloque, como demuestra un ataque ECB Penguin contra cualquier cifrado de bloque.

En los PLC de las series CS, CJ y CP de Omron versiones hasta 18-05-2022, la contraseña de acceso a la Interfaz de Usuario Web es almacenada en el área de memoria D1449...D1452 y puede leerse mediante el protocolo FINS de Omron sin necesidad de ninguna otra autenticación.

Emerson OpenBSI versiones hasta 29-04-2022, usa una criptografía débil. Es un entorno de ingeniería para la línea de RTUs ControlWave y Bristol Babcock. Es usado DES con claves criptográficas embebidas para la protección de determinadas credenciales del sistema, archivos de ingeniería y utilidades confidenciales.

El software MOSCAD Toolbox de Motorola versiones hasta 02-05-2022, es basado en una contraseña en texto sin cifrar. Usa un controlador MDLC para comunicarse con las RTU de MOSCAD/ACE con fines de ingeniería. El acceso a estas comunicaciones está protegido por una contraseña almacenada en texto sin cifrar en el archivo de configuración del driver wmdlcdrv.ini. Además, esta contraseña es usado para el control de acceso a los proyectos de MOSCAD/STS protegidos con la función Legacy Password. En este caso, un CRC no seguro de la contraseña está presente en el archivo del proyecto: este CRC es comprobado contra la contraseña en el archivo de configuración del controlador.

El Sistema de Control Distribuido (DCS) de Emerson DeltaV versiones hasta 29-04-2022, maneja inapropiadamente la autenticación. Usa varios protocolos propietarios para una amplia variedad de funcionalidades. Estos protocolos incluyen la actualización del firmware (18508/TCP, 18518/TCP); Plug-and-Play (18510/UDP); servicios Hawk (18507/UDP); administración (18519/TCP); reinicio en frío (18512/UDP); comunicaciones SIS (12345/TCP); y protocolo de pasarela inalámbrica (18515/UDP). Ninguno de estos protocolos presenta características de autenticación, permitiendo a cualquier atacante capaz de comunicarse con los puertos en cuestión invocar (un subconjunto de) la funcionalidad deseada.