Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en productos Advantech

Fecha27/09/2024
Importancia4 - Alta
Recursos Afectados
  • Advantech ADAM-5550: todas las versiones.
  • Advantech ADAM-5630: versiones anteriores a 2.5.2.
     
Descripción

Aarón Flecha Menéndez y Luis Villalba Pérez han notificado a CISA 6 vulnerabilidades: 4 de severidad alta y 2 de severidad media que podrían provocar la ejecución de código o el acceso a información sensible y credenciales.

Solución
  • Advantech ADAM-5550: ha alcanzado el final de su vida útil, se recomienda reemplazarlo por ADAM-5630.
  • Advantech ADAM-5630: actualizar a la versión 2.5.2.
Detalle

Las vulnerabilidades de severidad alta se describen de la siguiente forma:

  • La aplicación web de Advantech ADAM 5550 incluye una página de logs donde se muestran al usuario todas las peticiones HTTP recibidas. El dispositivo no neutraliza correctamente el código malicioso al analizar las solicitudes HTTP para generar la salida de la página. 
  • Las cookies de usuarios autenticados permanecen como cookies válidas activas cuando se cierra una sesión. Falsificar peticiones con una cookie legítima, aunque se haya cerrado la sesión, permite a un atacante no autorizado actuar con el mismo nivel de privilegios del usuario legítimo.
  • La falsificación de petición en sitios cruzados (CSRF) es una vulnerabilidad de seguridad web que permite a un atacante inducir a los usuarios a realizar acciones que no tienen intención de llevar a cabo. Permite a un atacante eludir parcialmente la política del mismo origen, que está diseñada para evitar que diferentes sitios web interfieran entre sí.
  • El dispositivo dispone de comandos integrados que pueden ejecutarse sin autenticar al usuario. Estos comandos permiten reiniciar el sistema operativo y el hardware y detener la ejecución. Los comandos pueden enviarse a una simple petición HTTP y son ejecutados por el dispositivo automáticamente, sin discriminación de origen o nivel de privilegios del usuario que envía los comandos.

Se han asignado los identificadores CVE-2024-38308, CVE-2024-39275, CVE-2024-28948 y CVE-2024-39364, para estas vulnerabilidades. Además, se puede comprobar en las referencias la información sobre las vulnerabilidades medias: CVE-2024-37187 y CVE-2024-34542.

Inyección de comandos en Atemio AM 520 HD de Atelmo

Fecha27/09/2024
Importancia5 - Crítica
Recursos Afectados
  • Atemio AM 520 HD: TitanNit 2.01 y anteriores
Descripción

Gjoko Krstic ha publicado una prueba de concepto (PoC) en la que se descubre una vulnerabilidad de severidad crítica, la cual podría permitir a un atacante, no autorizado, ejecutar comandos del sistema con privilegios elevados.

Solución

Atelmo ha indicado que este producto ha sido descontinuado. No hay direcciones de servicio o soporte a las que se pueda contactar.

Detalle

La vulnerabilidad de tipo neutralización inadecuada de elementos especiales utilizados en un comando del SO del dispositivo podría permitir que un atacante, no autorizado, ejecute comandos del sistema con privilegios elevados. Esta vulnerabilidad se facilita mediante el uso de la consulta 'getcommand' dentro de la aplicación, lo que permite al atacante obtener acceso root.

Se ha asignado el identificador CVE-2024-9166 para esta vulnerabilidad.