Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cinco nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos Rockwell Automation
  • Múltiples vulnerabilidades en productos de Aveva
  • Múltiples vulnerabilidades en productos Pepperl+Fuchs
  • Múltiples vulnerabilidades en Dream Report de Ocean Data Systems
  • Múltiples vulnerabilidades en CHARX SEC-3xxx de Phoenix Contact

Múltiples vulnerabilidades en productos Rockwell Automation

Fecha14/08/2024
Importancia5 - Crítica
Recursos Afectados
  • AADvance Standalone OPC-DA Server, versiones 2.01.510 y posteriores.
  • Versiones 34.011 y posteriores de:
    • ControlLogix 5580;
    • GuardLogix 5580.
  • DataMosaix Private Cloud, versiones anteiores a 7.07.
  • FactoryTalk View SE, versión 13.0.
  • Versiones anteriores a 36.011, 35.013 y 34.014 de:
    • CompactLogix 5380 (5069 - L3z);
    • CompactLogix 5480 (5069 - L4);
    • ControlLogix 5580 (1756 - L8z);
    • GuardLogix 5580 (1756 - L8z);
    • Compact GuardLogix 5380 (5069 - L3zS2).
Descripción

Rockwel Automation ha publicado información sobre 7 vulnerabilidades que afectan a varios de sus productos, siendo 1 de severidad crítica, 5 altas y 1 media. La explotación de estas vulnerabilidades podría permitir que un atacante ejecute código arbitrario, realice una denegación de servicio, tome el control de una cuenta de usuario, bloquear el dispositivo, modificar archivos y ejecutarlos con privilegios elevados.

Solución

Actualizar los productos afectados a las siguientes versiones correctoras, o aplicar las medidas de mitigación adecuadas:

  • AADvance Standalone OPC-DA Server: versiones 2.02 o posteriores.
  • ControlLogix 5580 y GuardLogix 5580: versiones 34.014 y posteriores.
  • DataMosaix Private Cloud: versiones desde 7.07 hasta 7.09.
  • FactoryTalk View SE: eliminar los privilegios de lectura y escritura al grupo de usuarios Everyone.
  • CompactLogix 5380 y 5480, ControlLogix 5580, GuardLogix 5580 y Compact GuardLogix 5380: versiones 36.011, 35.013 y 34.014. Además, restringir las comunicaciones con el objeto CIP 103 (0x67).
Detalle

La vulnerabilidad crítica, de tipo ejecución de código arbitrario, afecta a AADvance Standalone OPC-DA Server. El archivo de configuración de log4net no deshabilita las entidades externas XML. Se ha asignado el identificador CVE-2018-1285 para esta vulnerabilidad.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2006-0743, CVE-2024-40619, CVE-2024-6078, CVE-2024-7513, CVE-2024-7507 y CVE-2024-7515.

Múltiples vulnerabilidades en productos de Aveva

Fecha14/08/2024
Importancia4 - Alta
Recursos Afectados
  • SuiteLink: versiones 3.7.0 y anteriores.
  • Historian: versiones 2023 R2 P01 y anteriores, 2023 R2, 2023 hasta 2023 P03 y 2020 R2 hasta 2020 R2 SP1 P01.
  • InTouch: versiones 2023 R2 P01 y anteriores.
  • Application Server: versiones 2023 R2 P01 y anteriores.
  • Communication Drivers Pack: versiones 2023 R2 y anteriores.
  • Batch Management: versiones 2023 y anteriores.
  • Reports for Operations versiones anteriores a 2023 R2.
Descripción

Aveva ha publicado 3 avisos de seguridad, uno de ellos también publicado por CISA, donde corrige 4 vulnerabilidades altas que afectan a sus productos.

Además, los siguientes investigadores y equipos han colaborado en la investigación de las vulnerabilidades: Idaho National Laboratory (como parte del programa CESER's CyTRICS del D.O.E.) , Maurizio Gatti de Accenture S.p.A, Team82 de Claroty y Ocean Data Systems.

Solución

AVEVA recomienda que las organizaciones evalúen el impacto de estas vulnerabilidades basándose en su entorno operativo, arquitectura e implementación del producto. Los usuarios con las versiones de producto afectadas deben aplicar las actualizaciones de seguridad lo antes posible.

  • Reports for Operations: actualizar, a las versiones 2023 R2 o posterior.
  • Historian: actualizar AVEVA System Platform a las versiones 2023 R2 P01 o posteriores.

El resto de productos y las versiones afectados se pueden corregir instalando SuiteLink v3.7.100.

Detalle
  • CVE-2024-6456: una vulnerabilidad de inyección SQL, si se explota, podría permitir a un malhechor leer y escribir un proyecto de AVEVA Reports for Operations y/o manipular los archivos de instalación. La vulnerabilidad, si se explota, podría permitir que un comando SQL malicioso se ejecute bajo los privilegios de un usuario interactivo de Historian REST Interface que haya sido manipulado socialmente por un atacante para abrir una URL especialmente diseñada.
  • CVE-2024-6618: la vulnerabilidad se debe a una limitación insuficiente de un pathname hacia un directorio restringido, si se explota, podría permitir a un atacante ejecutar código arbitrario bajo los privilegios de un usuario interactivo de AVEVA Reports for Operations.
  • CVE-2024-6619: la vulnerabilidad se debe a la incorrecta asignación de permisos en un recurso crítico, si se explota, podría permitir a un atacante leer y escribir un proyecto de AVEVA Reports for Operations y/o manipular los archivos de instalación.
  • CVE-2024-7113: la vulnerabilidad de asignación de recursos sin límites ni restricciones, si se explota, podría hacer que un servidor SuiteLink consumiera excesivos recursos del sistema y ralentizara el procesamiento de E/S de datos durante la duración del ataque.

Múltiples vulnerabilidades en productos Pepperl+Fuchs

Fecha14/08/2024
Importancia4 - Alta
Recursos Afectados

Se ven afectados distintos rangos de versiones de varios protocolos industriales: EIP/Modbus, EtherNet/IP, Modbus (Router, Server y TCP), PROFINET/Modbus, PROFINET y SocketServer.

Estos protocolos se emplean en varios productos del fabricante Pepperl+Fuchs, el listado completo de los afectados puede consultarse en las referencias.

Descripción

El investigador Christopher Di-Nozzi, junto con la labor de coordinación realizada por CERT@VDE con el fabricante Pepperl+Fuchs, ha publicado 3 vulnerabilidades, 2 de severidad alta y 1 media, cuya explotación podría provocar la divulgación de información o una condición de denegación de servicio.

Solución

Actualizar el firmware a las siguientes versiones:

  • SocketServer 11.66;
  • PROFINET 3.4.10;
  • PROFINET/Modbus 1.0.8;
  • EtherNet/IP 7.23;
  • EIP/Modbus 1.09;
  • Modbus Router 7.10;
  • Modbus Server 7.12;
  • Modbus TCP 7.12.
Detalle

Las vulnerabilidades con severidad alta se describen a continuación:

  • Un atacante remoto no autenticado podría utilizar una vulnerabilidad de tipo XSS almacenado para obtener información de un usuario o reiniciar el dispositivo afectado una vez. Se ha asignado el identificador CVE-2024-38502 para esta vulnerabilidad.
  • Un atacante remoto no autenticado podría utilizar una vulnerabilidad de tipo XSS reflejado para obtener información de un usuario o reiniciar el dispositivo afectado una vez. Se ha asignado el identificador CVE-2024-5849 para esta vulnerabilidad.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2024-38501.

Múltiples vulnerabilidades en Dream Report de Ocean Data Systems

Fecha14/08/2024
Importancia4 - Alta
Recursos Afectados
  • Dream Report 2023: versiones 23.0.17795.1010 y anteriores.
  • AVEVA Reports for Operations 2023: versión 23.0.17795.1010.
Descripción

CISA ha publicado una nota de seguridad en donde se detallan 2 nuevas vulnerabilidades de severidad alta que afectan a Dream Report de la compañía Ocean Data Systems.

Las vulnerabilidades fueron reportadas a CISA por Claroty de Team82.

Solución
  • Actualizar Dream Report 2023 R2 a la versión 23.3.18952.0523.
  • Actualizar AVEVA Reports for Operations 2023 a la versión R2 o posterior.
Detalle
  • CVE-2024-6618: en Dream Report, un atacante podría realizar la ejecución remota de código a través de una inyección de DLL maliciosa aprovechando la vulnerabilidad que limita incorrectamente el acceso a un directorio restringido.
  • CVE-2024-6619: en Dream Report, una vulnerabilidad de asignación de permisos incorrectos podría permitir a un atacante local sin privilegios escalar los suyos y causar una denegación de servicio.

Múltiples vulnerabilidades en CHARX SEC-3xxx de Phoenix Contact

Fecha14/08/2024
Importancia4 - Alta
Recursos Afectados

Versiones anteriores del firmware versión 1.6.3 de los siguientes productos:

  • CHARX SEC-3000;
  • CHARX SEC-3050;
  • CHARX SEC-3100;
  • CHARX SEC-3150.
Descripción

Phoenix Contact, en coordinación con el CERT@VDE, ha publicado un nuevo aviso de seguridad para el sistema CHARX SEC-3xxx, en el que se recogen 2 vulnerabilidades altas que podrían permitir la realización de ataques durante el proceso de arranque.

Las vulnerabilidades fueron reportadas por Alex Olson, "gadha" de Trend Micro's Zero Day Initiative, y McCaulay Hudson y Alexander Plaskett del grupo NCC.

Solución

Actualizar a las versiones del firmware a la 1.6.3 y posteriores de las siguientes versiones:

  • CHARX SEC-3000;
  • CHARX SEC-3050;
  • CHARX SEC-3100;
  • CHARX SEC-3150.
Detalle
  • CVE-2024-6788: un atacante remoto no autenticado podría utilizar la función de actualización del firmware en la interfaz LAN del dispositivo para restablecer la contraseña del usuario predefinido con privilegios bajos "user-app" a la contraseña predeterminada.
  • CVE-2024-3913: un atacante remoto no autenticado puede utilizar esta vulnerabilidad para cambiar la configuración del dispositivo debido a un archivo que se puede modificar durante poco tiempo después del inicio del sistema.