Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos Pepperl+Fuchs
  • Vulnerabilidad de memoria libre duplicada en varios productos Moxa
  • Vulnerabilidades en JQuery afectan a Illustra Pro Gen 4 Camera de Johnson Controls

Múltiples vulnerabilidades en productos Pepperl+Fuchs

Fecha11/07/2024
Importancia5 - Crítica
Recursos Afectados
  • Versión MR10 (S02ROW.EC.01.02.244.00) y anteriores de los productos:
    • Smart-Ex 02;
    • Smart-Ex02BR-ROW-DZ1BRA- ANDC;
    • Smart-Ex02-RUS-DZ2EAC- ANDC00HM;
    • Smart-Ex02-RUS-DZ2EAC- ANDCES.
  • SMART-EX 03, versión MR2 (S03ROW.13.00.00.032) y anteriores.
  • Versión 2.11.0 y anteriores de los productos:
    • OIT1500-F113-B12-CB;
    • OIT200-F113-B12-CB;
    • OIT500-F113-B12-CB;
    • OIT700-F113-B12-CB.
Descripción

CERT@VDE, en coordinación con el fabricante Pepperl+Fuchs, ha publicado 3 vulnerabilidades que afectan a varios de sus productos, 1 de severidad crítica y 2 altas (BMW AG ha reportado 2 de las vulnerabilidades). Un atacante que explote estas vulnerabilidades podría escalar privilegios, divulgar información, realizar una denegación de servicio y manipular el dispositivo.

Solución
  • Para la vulnerabilidad CVE-2024-36971:
    • actualizar Smart-Ex 02 a la versión MR11 (disponible en septiembre de 2024);
    • actualizar SMART-EX 03 a la versión MR3 (disponible en agosto de 2024).
  • Para las vulnerabilidades CVE-2024-6421 y CVE-2024-6422:
    • minimizar exposición para no hacer que los dispositivos sean accesibles a través de Internet;
    • aislar los productos afectados de la red corporativa;
    • emplear VPN en caso de que se requiera acceso remoto.
Detalle

Un atacante remoto, no autenticado, podría emplear esta vulnerabilidad crítica para manipular el dispositivo a través de Telnet, y así detener procesos, leer, borrar y cambiar datos. Se ha asignado el identificador CVE-2024-6422 para esta vulnerabilidad.

Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2024-36971 y CVE-2024-6421.

Vulnerabilidad de memoria libre duplicada en varios productos Moxa

Fecha11/07/2024
Importancia4 - Alta
Recursos Afectados

A continuación, se listan las versiones de firmware que contienen al menos 2 productos afectados en cada línea de producto:

  • Las siguientes líneas de productos con versiones de firmware 1.0 y anteriores: DA-681A,MC-7400, MPC-2070, MPC-2101, MPC-2120, MPC-2121, MPC-2190, MPC-2240, EXPC-1519, MPC-2150, BXP-C100, DRP-C100, DRP-A100, DA-720 y AIG-302;
  • Las siguientes líneas de productos con versiones de firmware 1.1 y anteriores: V2403C, UC-1200A y UC-2200A;
  • Las siguientes líneas de productos con versiones de firmware 1.2 y anteriores: DA-820C, DA-681C y UC-2200A;
  • Las siguientes líneas de productos con versiones de firmware 2.0 y anteriores: ioThinx 4530, MC-1100 y MXsecurity;
  • Las siguientes líneas de productos con versiones de firmware 3.2 y anteriores: EDS-4000 y EDS-4000;
  • Las siguientes líneas de productos con versiones de firmware 3.3 y anteriores: UC-8100-ME, EDR-G9010 y EDR-8010.

Para revisar la lista completa de recursos afectados, consultar las referencias.

Descripción

Moxa ha publicado un aviso de seguridad en el que informan de una vulnerabilidad alta en el Kernel de Linux y que afecta a varios de sus productos. La explotación de esta vulnerabilidad podría provocar la caída del sistema o la escalada de privilegios.

Solución
  • Línea EDS-4000: actualizar a las versiones de firmware 4.1 o posteriores;
  • Línea EDS-G4000: actualizar a las versiones de firmware 4.1 o posteriores;
  • MXsecurity: actualizar a las versiones de firmware 2.1.0 o posteriores.

Para el resto de productos afectados, póngase en contacto con el servicio técnico de Moxa para aplicar el parche de seguridad.

Detalle

La vulnerabilidad de tipo use-after-free en el componente netfilter: nf_tables del Kernel de Linux podría ser explotada para conseguir una escalada local de privilegios o provocar la caída del sistema. Esta vulnerabilidad tiene asignado el identificador CVE-2024-1086.

Las líneas de productos TN-4900, OnCell G4302-LTE4, OnCell G4302-LTE4, EDR-8010 y EDR-G9010, disponen de protección mediante un diseño de software de defensa en profundidad. Actualmente, esta vulnerabilidad permanece inaccesible para los usuarios autorizados. Incluso si un defecto en un paquete de terceros ocurre dentro de los sistemas Moxa Secure Router, no hay evidencias de impacto actualmente en las operaciones del sistema TO.

Vulnerabilidades en JQuery afectan a Illustra Pro Gen 4 Camera de Johnson Controls

Fecha11/07/2024
Importancia4 - Alta
Recursos Afectados
  • Cámara Illustra Pro Gen 4: versiones SS016.05.03.01.0010 y anteriores.
Descripción

Johnson Controls ha reportado una vulnerabilidad, de severidad alta, cuya explotación podría permitir a un atacante afectar a la confidencialidad e integridad del dispositivo.

Solución

Johnson Controls recomienda que los usuarios actualicen la cámara Illustra Pro Gen 4 a la versión SS016.24.03.00.0007.

Detalle

En determinadas circunstancias, el producto afectado puede ser susceptible a vulnerabilidades conocidas asociadas con versiones de JQuery anteriores a la 3.5.0 de un componente de terceros. Se ha asignado el identificador CVE-2024-32753 para esta vulnerabilidad.