Seis nuevos avisos de SCI
Índice
- Avisos de seguridad de Siemens de diciembre de 2024
- Múltiples vulnerabilidades en productos Schneider Electric
- Múltiples vulnerabilidades en C-More EA9 Programming Software de AutomationDirect
- Múltiples vulnerabilidades en PLCnext Firmware de Phoenix Contact
- Múltiples vulnerabilidades en Planet WGS-804HPT de Planet Technology
- Ejecución de código remoto en Arena de Rockwell Automation
Avisos de seguridad de Siemens de diciembre de 2024
- CPCI85 Central Processing/Communication;
- línea de productos RUGGEDCOM ROX II;
- SIMATIC;
- Totally Integrated Automation Portal (TIA Portal);
- SIMOCODE;
- SIMOTION;
- SINAMICS;
- SIRIUS;
- SENTRON Powercenter;
- Teamcenter Visualization;
- COMOS;
- Solid Edge;
- Simcenter Femap;
- Parasolid.
Consultar modelos concretos y versiones afectadas en las referencias.
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 nuevos avisos de seguridad, recopilando un total de 39 vulnerabilidades de distintas severidades. Las vulnerabilidades categorizadas con severidad alta se corresponden con la siguiente tipología e identificadores asignados:
- CSRF en la línea de productos RUGGEDCOM ROX II (CVE-2020-28398);
- validación incorrecta de datos de entrada en los dispositivos SIMATIC, TIA Portal, SIMATIC, SIMOCODE, SIMOTION, SINAMICS y SIRIUS (CVE-2024-52051);
- lectura y escritura fuera de límites, corrupción de memoria, uso de memoria posterior a su liberación y desbordamiento de búfer en Teamcenter Visualization (consultar el listado de identificadores asignados en la referencia SSA-645131);
- desbordamiento de búfer o de enteros en Solid Edge SE2024 (CVE-2024-54093, CVE-2024-54094 y CVE-2024-54095);
- deserialización de datos no confiables en los dispositivos SIMATIC, TIA Portal, SIMATIC, SIMOCODE, SIMOTION, SINAMICS y SIRIUS (CVE-2024-49849);
- desbordamiento de búfer o corrupción de memoria en Simcenter Femap (CVE-2024-41981 y CVE-2024-47046);
- escritura fuera de límites en Parasolid (CVE-2024-54091).
Múltiples vulnerabilidades en productos Schneider Electric
Todas las versiones de los productos:
- Harmony (antes denominado Magelis) series HMIST6, HMISTM6, HMIG3U, HMIG3X, HMISTO7 con tiempo de ejecución EcoStruxureTM Operator Terminal Expert;
- series PFXST6000, PFXSTM6000, PFXSP5000, PFXGP4100 con tiempo de ejecución Pro-face BLUE;
- Modicon Controllers M241 / M251;
- Modicon Controllers M258 / LMC058.
Schneider Electric ha publicado información sobre 2 vulnerabilidades, una de severidad crítica y otra alta, que afecta a múltiples productos, y cuya explotación podría permitir a un atacante tomar el control total del dispositivo afectado, interferir en la integridad y confidencialidad los dispositivos, provocar un fallo operacional o causar una denegación de servicio (DoS).
- Para los HMI Harmony y Pro-face se recomienda:
- utilizar HMI solo en un entorno protegido, para minimizar la exposición a la red, asegurando que no se puede acceder desde redes públicas de Internet o no fiables;
- configurar una segmentación en la red e implementar un cortafuegos;
- restringir el uso de soportes portátiles no verificables;
- restringir el acceso a la aplicación para limitar la transferencia de firmware a HMIScanning de software o archivos en busca de rootkits antes de su uso y verificación de la firma digital;
- utilizar protocolos de comunicación seguros al intercambiar archivos a través de la red.
- Para los controladores Modicon, el fabricante está estableciendo un plan de corrección de la vulnerabilidad CVE-2024-11737 en futuras versiones, hasta entonces se recomienda:
- emplear controladores y dispositivos solo en un entorno protegido, para minimizar la exposición a la red, asegurando que no se puede acceder desde redes públicas de Internet o no fiables;
- filtrar puertos e IP a través del cortafuegos;
- segmentar la red y configurar un cortafuegos para bloquear todo acceso no autorizado al puerto 502/TCP;
- deshabilitar todos los protocolos en desuso;
- consultar Cybersecurity Guidelines for EcoStruxure Machine Expert, Modicon and PacDrive Controllers and Associated Equipment User Guide para más detalles.
Se ha identificado una vulnerabilidad crítica, de tipo validación de entrada inadecuada, que podría provocar una denegación de servicio y una pérdida de confidencialidad e integridad del controlador Modicon cuando se envía al dispositivo un paquete Modbus creado sin autenticación. Se ha asignado el identificador CVE-2024-11737 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-11999.
Múltiples vulnerabilidades en C-More EA9 Programming Software de AutomationDirect
C-More EA9 Programming Software: versión 6.78 y anteriores
Andrea Micalizzi (@rgod777), que trabaja con Trend Micro Zero Day Initiative, ha informado de 3 vulnerabilidades de severidad alta que podrían provocar una corrupción de memoria y, por tanto, ejecución remota de código arbitrario.
Actualizar a la versión C-MORE EA9 HMI a V6.79.
Las vulnerabilidades de severidad alta detectadas son de tipo desbordamiento de búfer basado en pila de análisis de archivos, que es un grave error de software que surge cuando una aplicación o un sistema gestiona incorrectamente los archivos de entrada. En caso de ser explotadas, podrían provocar ejecución remota de código arbitrario.
Se han asignado los identificadores CVE-2024-11609, CVE-2024-11610 y CVE-2024-11611 para estas vulnerabilidades.
Múltiples vulnerabilidades en PLCnext Firmware de Phoenix Contact
Versiones de PLCnext Firmware anteriores a 2024.0.6 LTS:
- AXC F 1152, AXC F 2152 y AXC F 3152.
- BPC 9102S.
- EPC 1502 y EPC 1522.
- RFC 4072R y RFC 4072S.
CERT@VDE, en coordinación con Phoenix Contact GmbH & Co. KG han publicado 69 vulnerabilidades: 3 de ellas críticas, 29 altas y el resto medias y bajas. La explotación de estas vulnerabilidades podría provocar el compromiso de la disponibilidad, integridad y confidencialidad de PLCnext Control.
Actualizar a la última edición de PLCnext Firmware 2024.0.6 LTS.
Para EPC 1502 y 1522, descargar la última versión de firmware disponible.
Las vulnerabilidades críticas se describen a continuación:
- Existe una vulnerabilidad debido a la resolución inadecuada de enlaces antes del acceso al archivo, que permitiría escribir archivos fuera de la ruta especificada. Se ha asignado el identificador CVE-2024-32002 para esta vulnerabilidad.
- Debido al tratamiento inadecuado de las condiciones excepcionales, es posible escribir en un espacio no asignado de memoria. Se ha asignado el identificador CVE-2023-47100 para esta vulnerabilidad.
- Al enviarleel nombre de host al proxy SOCKS5, este tiene una longitud maxima de 255 bytes. Si se detecta que el nombre de host es más largo, la resolución de nombres locales cambia, y en su lugar proporciona solo la dirección resuelta. Debido a este error, la variable local utilizada para dejar que el host resuelva el nombre, podría obtener el valor incorrecto durante un handshake SOCKS5 lento, y copiar el nombre de host demasiado largo al búfer de destino en lugar de copiar allí sólo la dirección resuelta. Se ha asignado el identificador CVE-2023-38545 para esta vulnerabilidad.
El resto de identificadores asignados a las vulnerabilidades, no críticas, pueden consultarse en las referencias.
Múltiples vulnerabilidades en Planet WGS-804HPT de Planet Technology
Planet WGS-804HPT: versión v1.305b210531
Tomer Goldschmidt, de Claroty Research - Team82, ha informado sobre 3 vulnerabilidades en Planet WGS-804HPT: 2 de severidad crítica y una media, que podrían provocar una ejecución remota de código o un bloqueo del programa.
Actualizar a la versión 1.305b241111 o superior.
Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer basado en pila e inyección de comandos en sistema operativo. Su explotación podría permitir a un atacante, no autenticado, enviar comandos a través de una solicitud HTTP maliciosa para que el servidor web no compruebe correctamente el tamaño de entrada antes de copiar los datos a la pila y ejecutar código de forma remota. Se han asignado los identificadores CVE-2024-48871 y CVE-2024-52320 para estas vulnerabilidades.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2024-52558.
Ejecución de código remoto en Arena de Rockwell Automation
Las siguientes versiones del software Arena:
- Todas las versiones 16.20.00 y anteriores, están afectadas por las vulnerabilidades CVE-2024-11155 y CVE-2024-11158.
- Todas las versiones 16.20.03 y anteriores, están afectadas por las vulnerabilidades CVE-2044-11156 y CVE-2024-12130.
Rockwell Automation ha notificado 4 vulnerabilidades de severidad altas, que afectan a su producto Arena, cuya explotación podría permitir la ejecución remota de código.
Actualizar el software Arena a las versiones 16.20.06 o posteriores.
- Un atacante podría ejecutar código arbitrario en los productos afectados debido a una vulnerabilidad que podría permitir a un actor de amenazas crear un archivo DOE y forzar al software a usar un recurso que ya estaba utilizado.
- Existe una vulnerabilidad de ejecución de código de en los productos afectados que podría permitir a un actor de amenazas crear un archivo DOE y forzar al software a acceder a una variable antes de que se inicialice, permitiendo al atacante ejecutar código de forma remota.
- Arena contiene una vulnerabilidad de ejecución de código remoto que podría permitir a un actor de amenazas crear un archivo DOE y forzar al software a acceder a una variable antes de que se inicialice.
- En los productos afectados existe una vulnerabilidad de ejecución de código que podría permitir a un actor de amenazas crear un archivo DOE y forzar al software a leer más allá de los límites de una memoria asignada lo que le permitiría ejecutar código de forma remota.
Se han asignado los identificadores CVE-2024-11155, CVE-2044-11156, CVE-2024-11158 y CVE-2024-12130, respectivamente para estas vulnerabilidades.