Tres nuevos avisos de SCI
Índice
- Divulgación de información en Bosch Configuration Manager
- Múltiples vulnerabilidades en Optigo Networks ONS-S8 - Spectra Aggregation Switch
- Múltiples vulnerabilidades en JTEKT ELECTRONICS Kostac PLC Programming Software
Divulgación de información en Bosch Configuration Manager
Bosch Configuration Manager, versión 7.72.0106.
Bosch ha reportado una vulnerabilidad de severidad alta que afecta a su producto Configuration Manager, cuya explotación podría permitir a un atacante acceder a información sensible.
Actualizar Bosch Configuration Manager a la versión 7.72.0128.
Durante las pruebas internas de Bosch Configuration Manager se descubrió una vulnerabilidad alta que puede almacenar temporalmente información confidencial del sistema configurado. Se ha asignado el identificador CVE-2024-98763 para esta vulnerabilidad.
Múltiples vulnerabilidades en Optigo Networks ONS-S8 - Spectra Aggregation Switch
ONS-S8 - Spectra Aggregation Switch: versiones 1.3.7 y anteriores.
CISA ha reportado dos vulnerabilidades críticas que afectan a Spectra Aggregation Switch de Optigo Networks, la explotación de estas vulnerabilidades podría permitir la ejecución remota de código, subida de archivos arbitrarios u omisión de la autenticación.
Las vulnerabilidades fueron reportadas por Claroty Team82 a CISA.
Por el momento, no existe solución.
Optigo Networks recomienda a los usuarios utilizar siempre una VLAN de gestión única para el puerto del ONS-S8 que se utiliza para conectarse a OneView.
Además, Optigo Networks recomienda también a los clientes que adopten las siguientes medidas para minimizar el riesgo:
- Utilice un NIC dedicado en el equipo BMS y exclusivamente este equipo para conectarse a OneView para gestionar su configuración de red OT.
- Configure un cortafuegos de enrutador con una lista blanca para los dispositivos autorizados a acceder a OneView.
- Conéctese a OneView a través de una VPN segura.
El servicio web para ONS-S8 - Spectra Aggregation Switch incluye funciones que no validan correctamente la entrada del usuario, lo que permitiría a un atacante recorrer directorios, eludir la autenticación y ejecutar código remoto.
El servidor web para ONS-S8 - Spectra Aggregation Switch incluye un proceso de autenticación incompleto, que podría ser empleado por un atacante para autenticarse sin contraseña.
Se han asignado los identificadores CVE-2024-41925 y CVE-2024-45367 para estas vulnerabilidades críticas, respectivamente.
Múltiples vulnerabilidades en JTEKT ELECTRONICS Kostac PLC Programming Software
Kostac PLC Programming Software: versiones 1.6.14.0 y anteriores.
JVN (Japan Vulnerability Notes) ha publicado tres vulnerabilidades altas que afectan a Kostac PLC Programming Software (anteriormente conocido como Koyo PLC Programming Software) de JTEKT ELECTRONICS. La explotación de estas vulnerabilidades podría provocar la denegación de servicio (DoS), ejecución de código arbitrario y/o revelación de información.
Las vulnerabilidades fueron reportadas por Michael Heinzl y coordinadas por JPCERT/CC.
Actualizar Kostac PLC Programming Software a las versiones 1.6.15.0 y superiores.
Cuando se abre un archivo de proyecto especialmente diseñado en el software de programación de PLC Kostac, se puede producir:
- una escritura fuera de los límites al procesar una cadena de datos incorrecta (CVE-2024-47134);
- un desbordamiento del búfer basado en pila al procesar datos de PLC incorrectos (CVE-2024-47135);
- una lectura fuera de los límites al procesar una cadena de datos incorrecta (CVE-2024-47136).