botón arriba

Un nuevo aviso de SCI

[Actualización 22/08/2023] Omisión de autenticación en MELSEC WS Series de Mitsubishi Electric

Fecha18/05/2023
Importancia4 - Alta
Recursos Afectados

Todas las versiones de MELSEC WS Series WS0-GETH00200.

Descripción

Mitsubishi Electric ha publicado una vulnerabilidad de severidad alta que podría facilitar a un atacante conectarse a través de Telnet y realizar acciones indebidas, manipular la configuración del módulo, o reescribir la firma. 

Solución

La compañía recomienda cambiar la contraseña de Telnet por una más robusta y establecer otras medidas de mitigación.

Para más información, consultar el aviso original en las referencias.  

Detalle

Los productos afectados por la vulnerabilidad de severidad alta reportada cuentan con la función Telnet oculta, habilitada por defecto. La explotación de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, iniciar sesión en el módulo afectado conectándose a él a través de Telnet.

Como resultado, el atacante puede reiniciar el módulo y, si se cumplen ciertas condiciones, puede revelar o manipular la configuración del módulo, reescribir la firma o el firmware.

Se ha asignado el identificador CVE-2023-1618 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos de Ormazabal

Fecha22/08/2023
Importancia5 - Crítica
Recursos Afectados

Versión firmware 601j de los siguientes dispositivos:

  • ekorCCP,
  • ekorRCI.
Descripción

INCIBE ha coordinado la publicación de 10 vulnerabilidades en los dispositivos industriales ekorCCP y ekorRCI de Ormazabal, las cuales han sido descubiertas por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Jacinto Moral Matellán.

A estas vulnerabilidades se les han asignado los siguientes códigos:

  • CVE-2022-47553:
    • Puntuación base CVSS v3.1: 8,6.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-285: Improper Authorization.
  • CVE-2022-47554:
    • Puntuación base CVSS v3.1: 8,2.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-200: Exposure of Sensitive Information to an Unauthorized Actor.
  • CVE-2022-47555:
    • Puntuación base CVSS v3.1: 8,5.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-78: Improper Neutralization of Special Elements used in an OS Command.
  • CVE-2022-47556:
    • Puntuación base CVSS v3.1: 6,5.
    • Cálculo del CVSS: AV:N/AC:L/PR:L /UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-400: Uncontrolled Resource Consumption.
  • CVE-2022-47557:
    • Puntuación base CVSS v3.1: 6,1.
    • Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-916: Use of Password Hash With Insufficient Computational Effort.
  • CVE-2022-47558:
    • Puntuación base CVSS v3.1: 9,4.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.
    • Tipo de vulnerabilidad: CWE-284: Improper Access Control.
  • CVE-2022-47559:
    • Puntuación base CVSS v3.1: 8,6.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-352: Cross-Site Request Forgery (CSRF).
  • CVE-2022-47560:
    • Puntuación base CVSS v3.1: 5,7.
    • Cálculo del CVSS: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-319: Cleartext Transmission of Sensitive Information.
  • CVE-2022-47561:
    • Puntuación base CVSS v3.1: 7,3.
    • Cálculo del CVSS: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-256: Unprotected Storage of Credentials.
  • CVE-2022-47562:
    • Puntuación base CVSS v3.1: 7,5.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-770: Allocation of Resources Without Limits or Throttling.
Solución

Los dispositivos afectados se encuentran en el fin de ciclo de su vida útil. Ormazabal recomienda actualizar a los modelos actualizados.

Detalle

Vulnerabilidades que afectan, tanto a ekorCCP como a ekorRCI:

  • CVE-2022-47553: autorización incorrecta, la cual podría permitir a un atacante remoto obtener recursos con información sensible para la organización, sin estar autenticado dentro del servidor web.
  • CVE-2022-47554: exposición de información sensible, pudiendo permitir a un atacante remoto obtener información crítica de diferentes archivos .xml, incluyendo archivos .xml conteniendo credenciales, sin estar autenticado dentro del servidor web.
  • CVE-2022-47555: inyección de comandos del sistema operativo, lo que podría permitir a un atacante autenticado ejecutar comandos, crear nuevos usuarios con privilegios elevados o configurar una puerta trasera.
  • CVE-2022-47557: vulnerabilidad que podría permitir a un atacante con acceso a la red donde se encuentra el dispositivo, descifrar las credenciales de usuarios privilegiados, y posteriormente obtener acceso al sistema para ejecutar acciones maliciosas.
  • CVE-2022-47558: los dispositivos son vulnerables debido al acceso al servicio FTP utilizando credenciales por defecto. La explotación de esta vulnerabilidad puede permitir a un atacante modificar ficheros críticos que podrían permitir la creación de nuevos usuarios, borrar o modificar usuarios existentes, modificar ficheros de configuración, instalación de rootkits o backdoor.
  • CVE-2022-47559: falta de control del dispositivo sobre las peticiones web, permitiendo a un atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario está conectado, afectando a la disponibilidad, privacidad e integridad.
  • CVE-2022-47560: la falta de control de peticiones web en los dispositivos afectados, permite a un potencial atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario está logueado.
  • CVE-2022-47561: la aplicación web almacena credenciales en texto claro en el archivo "admin.xml", al que se puede acceder sin iniciar sesión en el sitio web, lo que podría permitir a un atacante obtener credenciales relacionadas con todos los usuarios, incluidos los usuarios administradores, en texto claro, y utilizarlas para ejecutar posteriormente acciones maliciosas.
  • CVE-2022-47562: vulnerabilidad en el servicio RCPbind que se ejecuta en el puerto UDP (111), lo que permite a un atacante remoto crear una condición de denegación de servicio (DoS).

Vulnerabilidad que afecta solo a ekorRCI:

  • CVE-2022-47556: consumo de recursos no controlado, permitiendo a un atacante con acceso al servidor web con privilegios bajos, enviar peticiones web legítimas continuas a una funcionalidad que no está validada correctamente, con el fin de provocar una denegación de servicio (DoS) en el dispositivo.