Dos nuevos avisos de SCI y una actualización
Índice
- [Actualización 21/03/2024] Acceso sin restricción en productos de Eaton
- Inyección de comandos en Network Synchronizer de Bosch
- Múltiples vulnerabilidades en Planet IGS-4215-16T2S
[Actualización 21/03/2024] Acceso sin restricción en productos de Eaton
- NM3: todas las versiones hasta la 1.0.3;
- NM2: todas las versiones hasta la 3.1.8;
- G4 ePDU: todas las versiones hasta la 2.4.1;
- IPM2: todas las versiones hasta la 2.7.1.
Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios que podría permitir a un usuario válido obtener acceso sin restricciones al dispositivo.
- Para NM3, actualizar a la versión Eaton Network-M3 firmware v1.0.4.
- Para G4, ePDU actualizar a la versión Eaton G4 Rack PDU firmware v2.4.2.
Para los productos sin actualización se recomienda seguir los pasos de mitigación detallados en el aviso original (ver 'Referencias').
Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios de algunos productos, que cuando se configuran con un directorio activo inseguro, los productos permiten a un atacante obtener acceso sin restricciones. Cuando los productos se implementan con un directorio activo configurado de forma insegura son vulnerables a un problema de seguridad, que permite a un usuario válido obtener acceso sin restricciones al dispositivo.
Inyección de comandos en Network Synchronizer de Bosch
Versiones anteriores a la 9.30 para:
- Bosch Network Synchronizer Enterprise;
- Bosch Network Synchronizer Standard.
Bosch ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante, no autorizado, acceso completo al dispositivo.
Actualice Bosch Network Synchronizer a la versión 9.30.52153 (versión del instalador 9.30.52302).
La vulnerabilidad de severidad alta detectada podría permitir inyección de comandos en la interfaz de diagnóstico de Bosch Network Synchronizer lo que provocaría que un usuario, no autenticado, tuviese acceso completo al dispositivo.
Múltiples vulnerabilidades en Planet IGS-4215-16T2S
IGS-4215-16T2S, versión de firmware 1.305b210528.
INCIBE ha coordinado la publicación de 3 vulnerabilidades, 2 de severidad alta y 1 media, que afectan a Planet IGS-4215-16T2S, versión de firmware 1.305b210528, un conmutador industrial para mejorar la disponibilidad de aplicaciones empresariales críticas, las cuales han sido descubiertas por J. Daniel Martinez (dan1t0) de IOActive.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-2740: 7.7 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-200.
- CVE-2024-2741: 7.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | CWE-352.
- CVE-2024-2742: 6.4 | CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H | CWE-78.
Vulnerabilidad solucionada en la versión de firmware 1.305b231218.
CVE-2024-2740: vulnerabilidad de exposición de información en Planet IGS-4215-16T2S, que afecta a la versión de firmware 1.305b210528. Esta vulnerabilidad podría permitir que un atacante remoto acceda a algunos recursos administrativos debido a la falta de una gestión adecuada de la interfaz web de Switch.
CVE-2024-2741: vulnerabilidad de Cross-Site Request Forgery (CSRF) en Planet IGS-4215-16T2S, que afecta a la versión de firmware 1.305b210528. Esta vulnerabilidad podría permitir a un atacante remoto engañar a algunos usuarios autenticados para que realicen acciones en su sesión, como agregar o actualizar cuentas a través de la interfaz web de Switch.
CVE-2024-2742: vulnerabilidad de inyección de comandos del sistema operativo en Planet IGS-4215-16T2S, que afecta la versión de firmware 1.305b210528. Un atacante autenticado podría ejecutar código arbitrario en el host remoto explotando la funcionalidad de dirección IP.