Tres nuevos avisos de SCI
Neutralización incorrecta en PowerMonitor 1000 de Rockwell Automation
PowerMonitor 1000: V4.011
Rockwell Automation ha informado de una vulnerabilidad de severidad alta que podría permitir que un atacante logre la ejecución remota de código y, potencialmente, la pérdida total de confidencialidad, integridad y disponibilidad del producto.
Actualizar a la versión 4.019.
La vulnerabilidad de severidad alta detectada podría provocar que un atacante inyecte un código malicioso en las páginas vulnerables que no requieren privilegios para acceder. Lo que da como resultado la ejecución remota del código y potencialmente la pérdida completa de confidencialidad, integridad y disponibilidad del producto.
Se ha asignado el identificador CVE-2023-2072 para esta vulnerabilidad.
Múltiples vulnerabilidades en productos Honeywell
Versiones anteriores a R520.2 de los productos:
- Experion PKS,
- Experion LX,
- Experion PlantCruise.
Investigadores de ciberseguridad de ARMIS han reportado 9 vulnerabilidades en productos de Honeywell, 7 de severidad crítica y 2 alta, cuya explotación podría permitir a un atacante causar una condición de denegación de servicio (DoS), escalar privilegios o ejecutar código remoto.
Actualizar las plataformas de Experion a la versión R520.2, siguiendo los pasos descritos en el aviso de CISA.
Los tipos de vulnerabilidades críticas se listan a continuación:
- desbordamiento de búfer (CVE-2023-23585, CVE-2023-25078 y CVE-2023-24474);
- valor de retorno/estado inesperado (CVE-2023-25948);
- codificación incorrecta de los datos de salida (CVE-2023-24480);
- deserialización de información no confiable (CVE-2023-25770);
- comparación incorrecta (CVE-2023-22435).
Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-26597 y CVE-2023-25178.
Múltiples vulnerabilidades en productos de Becton, Dickinson and Company
Las siguientes versiones de BD Alaris están afectadas:
- BD Alaris Point-of-Care Unit (PCU) modelo 8015: versiones 12.1.3 y anteriores;
- BD Alaris Guardrails Editor: versiones 12.1.2 y anteriores;
- BD Alaris Systems Manager: versiones 12.3 y anteriores;
- CQI Reporter: versiones v10.17 y anteriores;
- Calculation Services: versiones 1.0 y anteriores.
BD ha reportado 8 vulnerabilidades, 2 de las cuales son de severidad baja, 5 de severidad media, y 1 de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante comprometer datos sensibles, secuestrar una sesión, modificar el firmware o realizar cambios en la configuración del sistema.
BD recomienda aplicar distintas medidas de mitigación para reducir los riesgos asociados a las vulnerabilidades reportadas. Para más información, consultar el enlace en las referencias.
La vulnerabilidad de severidad alta, podría permitir a un atacante cargar un archivo malicioso en una función de importación de usuarios de System Manager, lo que podría provocar el secuestro de la sesión. Se ha asignado el identificador CVE-2023-30563 para esta vulnerabilidad.
Las vulnerabilidades de severidad media y baja tienen asignados los siguientes identificadores respectivamente: CVE-2023-30559, CVE-2023-30560, CVE-2023-30561, CVE-2023-30562, CVE-2023-30564, CVE-2023-30565.