Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Seis nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de Endress+Hauser
  • Carga sin restricciones de archivos de tipo peligroso en SpiderControl SCADA Web Server
  • Múltiples vulnerabilidades en productos de Ivanti
  • Múltiples vulnerabilidades en productos ABB
  • Ruta de búsqueda o elemento no citado en SequenceManager

Múltiples vulnerabilidades en productos de Endress+Hauser

Fecha11/09/2024
Importancia5 - Crítica
Recursos Afectados
  • Echo Curve Viewer, versiones 5.2.2.6 o anteriores.
  • FieldCare SFE500 Package:
    • USB, versiones V1.40.00.7448 o anteriores;
    • Web-Package, versiones V1.40.00.7448 o anteriores.
  • Field Xpert SMT50, versiones SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriores.
  • Field Xpert SMT70, versiones SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriores.
  • Field Xpert SMT77, versiones SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriores.
  • Field Xpert SMT79, versiones V1.08.02-1.8.8684.34292 o anteriores.
Descripción

VDE@CERT ha coordinado la publicación de un aviso de seguridad para una vulnerabilidad crítica de Endress+Hauser. De explotarse, esta vulnerabilidad podría permitir la ejecución de comandos en el contexto de otros usuarios.
La vulnerabilidad fue detectada por Julian Renz, de Endress+Hauser

Solución
  • Echo Curve Viewer: actualizar a la versión 6.00.00.
  • FieldCare SFE500 Package: actualizar a la versión 1.40.1.
  • Para los dispositivos Field Xpert Devices, la actualización se instala automáticamente al iniciar el dispositivo, siempre que este tenga conexión a Internet.
Detalle

Echo Curve Viewer es una utilidad utilizada para la visualización offline de datos de curvas envolventes previamente registrados. Al cargar los archivos .cs que utiliza para la representación de estas curvas, contienen c#; sin embargo, cuando se ingesta, estos no son autenticados ni validados, por lo que el código c# de ellos se ejecuta inmediatamente. Un atacante remoto sin autenticación puede ejecutar código c# incluido en estos archivos y ejecutar comandos en el contexto del usuario. Esta vulnerabilidad crítica recibe el identificador CVE-2024-6596

Carga sin restricciones de archivos de tipo peligroso en SpiderControl SCADA Web Server

Fecha11/09/2024
Importancia4 - Alta
Recursos Afectados
  • SpiderControl SCADA Web Server: versiones v2.09 y anteriores.
Descripción

Elcazators ELEX FEIGONG RESEARCH INSTITUTE de Elex CyberSecurity, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante iniciar sesión o ejecutar código arbitrario.

Solución

IniNet Solutions ha lanzado una nueva versión de SpiderControl SCADA Server que soluciona la vulnerabilidad reportada. Para más información, consultar las referencias.

Detalle

SpiderControl SCADA Web Server, de iniNet Solutions GmbH, contiene una vulnerabilidad que podría permitir a un atacante cargar archivos maliciosos especialmente diseñados sin autenticación. Se ha asignado el identificador CVE-2024-8232 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos de Ivanti

Fecha11/09/2024
Importancia5 - Crítica
Recursos Afectados
  • Ivanti IWC: versiones 10.18.0.0 y anteriores.
  • Ivanti Cloud Services Appliance: versión 4.6 (todas las versiones anteriores al parche 519).
  • Ivanti Endpoint Manager:
    • Versión 2024.
    • Versiones 2022 SU5 y anteriores.
Descripción

Ivanti ha publicado avisos de seguridad para atender a 23 vulnerabilidades que afectan a sus productos. La explotación de estas vulnerabilidades puede provocar una escalada de privilegios o ejecución remota de código. 

En la detección y gestión de estas vulnerabilidades han colaborado, Sina Kheirkhah y 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044, de Trend Micro Zero Day Initiative además de Remko Weijnen.

Solución
  • Ivanti IWC: actualizar a la versión 10.18.99.0
  • Ivanti Cloud Services Appliance: 
    • Actualizar al parche 519 para la versión 4.6.
    • Ivanti, además, recomienda actualizar a la versión 5.0.
  • Ivanti Endpoint Manager:
    • Versión 2024: aplicar los parches de julio y septiembre. Además, está previsto que se publique la versión 2024 SU1.
    • Versión 2022 SU6.
Detalle

De las 23 vulnerabilidades, 10 son críticas, 9 altas y 4 medias.

  • La deserialización de datos no fiables en el portal del agente de Ivanti EPM podría permitir a un atacante remoto no autenticado lograr la ejecución remota de código. Esta vulnerabilidad tiene una puntuación crítica de 10 y recibe el identificador CVE-2024-29847.
  • Una inyección SQL no especificada en Ivanti EPM podría permitir a un atacante remoto autenticado con privilegios de administrador lograr la ejecución remota de código. Esto provoca las vulnerabilidades críticas CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783 y CVE-2024-34785.

El resto de vulnerabilidades no críticas se pueden consultar en las referencias.

Múltiples vulnerabilidades en productos ABB

Fecha11/09/2024
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de firmware de los dispositivos REF630, REG630, REM630 y RET630 están afectadas:

  • versiones 1.1.0.C4 o anteriores para la gama 630 1.1;
  • versiones 1.2.0.B7 o anteriores para la gama 630 1.2;
  • versiones 1.3.0.B0 o anteriores para la gama 630 1.3.
Descripción

ABB ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante hacer que el producto afectado dejara de aceptar nuevas conexiones del cliente, así como reiniciar el mismo.

Solución

La vulnerabilidad ha sido corregida en las siguientes versiones de firmware:

  • versión 1.1.0.C5 para la gama 630 1.1;
  • versión 1.2.0.B8 para la gama 630 1.2;
  • versión 1.3.0.B1 para la gama 630 1.3.
Detalle
  • Un atacante podría explotar la vulnerabilidad utilizando una secuencia de mensajes especialmente diseñada para forzar a la pila de comunicación del servidor a dejar de aceptar nuevas conexiones del cliente. Se ha asignado el identificador CVE-2022-3353 para esta vulnerabilidad.
  • Vulnerabilidad en la validación de entrada de los mensajes GOOSE, donde los valores fuera de rango recibidos y procesados por el IED provocaban un reinicio del dispositivo. Para que un atacante explote la vulnerabilidad, es necesario configurar bloques de recepción GOOSE. Se ha asignado el identificador CVE-2023-4518 para esta vulnerabilidad.

Ruta de búsqueda o elemento no citado en SequenceManager

Fecha11/09/2024
Importancia4 - Alta
Recursos Afectados

SequenceManager: versiones anteriores a la 2.0.

Descripción

Rockwell Automation ha reportado una vulnerabilidad de severidad alta, cuya explotación podría provocar la denegación del servicio en el dispositivo, además de eliminar la visibilidad del resto de usuarios que no podrán comprobar el estado del controlador ni las máquinas, aunque estos continúen ejecutándose.

Solución

Actualizar SequenceManager a la versión 2.0 o superior.

Detalle

SequenceManager contiene una vulnerabilidad de validación de entrada en los productos afectados que podría permitir a un atacante enviar paquetes maliciosos especialmente diseñados al servidor y provocar una situación de denegación de servicio. Se ha asignado el identificador CVE-2024-4609 para esta vulnerabilidad.