Inicio / Content / Boletín de INCIBE-CERT del 01-03-2021

Boletín de INCIBE-CERT del 01-03-2021

Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER

Fecha de publicación: 
01/03/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • DeviceCare SFE100, versión 1.07.00 y anteriores;
  • Field Xpert SMTxx (Software SFE300), versión 1.05.00 y anteriores;
  • FieldCare SFE500, versión 2.15.01 y anteriores;
  • Asset Health Monitoring SRP700 (Software FieldCare SFE500), versión 2.15.01 (FieldCare SFE500) y anteriores.
Descripción: 

M&M Software GmbH ha reportado esta vulnerabilidad de severidad alta, coordinada por CERT@VDE, que podría permitir a un atacante ejecutar código malicioso.

Solución: 

Hasta que esté disponible una solución, se recomienda tomar las siguientes medidas de mitigación:

  • intercambiar los datos del proyecto sólo a través de servicios de intercambio seguros;
  • utilizar los medios adecuados para proteger el almacenamiento del proyecto de manipulaciones no autorizadas;
  • no abrir los datos del proyecto desde una fuente desconocida;
  • reducir los derechos de usuario de la aplicación anfitriona al mínimo necesario.
Detalle: 

Una vulnerabilidad de deserialización de datos no confiables en el componente fdtContainer, integrado en la aplicación, podría permitir a un atacante ejecutar código malicioso, desde la estación de trabajo en la que se ejecuta la aplicación del host, con los permisos de usuario de dicha aplicación. Se ha asignado el identificador CVE-2020-12525 para esta vulnerabilidad ya publicada en INCIBE-CERT.

Encuesta valoración

Referencias: 
ENDRESS+HAUSER: Multiple Devices affected by fdtContainer vulnerability
Vulnerabilidad en fdtContainer de WAGO/M&M Software
Etiquetas: 
Infraestructuras críticas
Vulnerabilidad

Control de acceso inapropiado en gateways de ProSoft Technology

Fecha de publicación: 
26/02/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • ICX35-HWC-A, versiones 1.9.62 y anteriores;
  • ICX35-HWC-E, versiones 1.9.62 y anteriores. 
     
Descripción: 

El investigador Maxim Rupp ha reportado al CISA una vulnerabilidad de severidad alta que podría permitir a un atacante remoto modificar la contraseña de usuario, cambiar la configuración del equipo o detener el funcionamiento del mismo.

Solución: 

Actualizar el firmware a la versión 1.10.30 u otra posterior.

Detalle: 

Un atacante remoto o un proceso externo podría cambiar la contraseña actual a través de la interfaz web de las pasarelas (gateways), dado que no se solicita la contraseña actual para ello. Se ha asignado el identificado CVE-2021-22661 para esta vulnerabilidad.

Encuesta valoración

 

Referencias: 
ICS Advisory (ICSA-21-056-04) ProSoft Technology ICX35
ProSoft Security Bulletin - Industrial IT BSECV-2021-02
Etiquetas: 
Actualización
Comunicaciones
Infraestructuras críticas
IoT
Vulnerabilidad

Evasión de autenticación en múltiples productos de Rockwell Automation

Fecha de publicación: 
26/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Están afectados los siguientes productos de software:

  • RSLogix 5000: versiones desde la 16 hasta la 20;
  • Studio 5000 Logix Designer: versiones 21 y posteriores;
  • [Actualización 19/03/2021]: FactoryTalk Security, parte de FactoryTalk Services Platform version 2.10 y posteriores.

Los siguientes productos Rockwell Logix Controllers:

  • CompactLogix 1768,
  • CompactLogix 1769,
  • CompactLogix 5370,
  • CompactLogix 5380,
  • CompactLogix 5480,
  • ControlLogix 5550,
  • ControlLogix 5560,
  • ControlLogix 5570,
  • ControlLogix 5580,
  • DriveLogix 5560,
  • DriveLogix 5730,
  • DriveLogix 1794-L34,
  • Compact GuardLogix 5370,
  • Compact GuardLogix 5380,
  • GuardLogix 5570,
  • GuardLogix 5580,
  • SoftLogix 5800.
Descripción: 

Investigadores del laboratorio Information Systems Security Assurance, de la universidad de Soonchunhyang, y las empresas Kaspersky y Claroty, han descubierto una vulnerabilidad en la autenticación de los controladores Logix que permitiría evadir la autenticación de manera remota y alterar la configuración del controlador o el código de la aplicación.

Solución: 

Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:

Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:

  • ControlLogix 5580 v32 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
      • Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5580 v31:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
      • Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5570 v31 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar".
  • SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).

Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:

  • Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
  • Si usa v17 o posterior, utilice la función de registro del controlador.
  • Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
  • Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.

Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: rasecure@ra.rockwell.com.

CISA también recomienda:

  • Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).
Detalle: 

La vulnerabilidad descubierta permite, a través de una funcionalidad en Studio 5000 Logix Designer, usar una clave para verificar que los controladores Logix se estén comunicando con los productos de Rockwell afectados, y un atacante remoto no autenticado podría eludir este mecanismo de verificación y autenticarse con los controladores. La criticidad de esta vulnerabilidad es de 10 según la metodología de cálculo CVSS v3. Se ha asignado el identificador CVE-2021-22681 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICSA-21-056-03: Rockwell Automation Logix Controllers
Etiquetas: 
0day
Comunicaciones
Infraestructuras críticas
SCADA
Vulnerabilidad

Múltiples vulnerabilidades en OpenVPN-Client de PerFact

Fecha de publicación: 
26/02/2021
Importancia: 
4 - Alta
Recursos afectados: 

OpenVPN-Client, versiones 1.4.1.0 y anteriores.

Descripción: 

Sharon Brizinov, de Claroty, ha reportado al CISA estas vulnerabilidades, de severidad alta, que podría permitir a un atacante la escalada de privilegios local o la ejecución remota de código.

Solución: 

Actualizar a la versión 1.6.0.

Detalle: 

Un atacante podría aprovecharse de la arquitectura y enviar el comando config desde cualquier aplicación que se ejecute en el equipo anfitrión local para forzar al servidor backend a inicializar una nueva instancia de open-VPN con una configuración de open-VPN arbitraria. Esto podría resultar en la ejecución de comandos con privilegios del usuario SYSTEM. Se ha asignado el identificador CVE-2021-27406 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-21-056-01) PerFact OpenVPN-Client
Etiquetas: 
Actualización
Infraestructuras críticas
Vulnerabilidad

Múltiples vulnerabilidades en FvDesigner de Fatek

Fecha de publicación: 
26/02/2021
Importancia: 
4 - Alta
Recursos afectados: 

FvDesigner, versión 1.5.76 y anteriores.

Descripción: 

Francis Provencher {PRL} y rgod, en colaboración con ZDI de Trend Micro, han reportado 5 vulnerabilidades, todas de severidad alta, que podrían permitir a un atacante leer/modificar información, ejecutar código arbitrario o bloquear la aplicación.

Solución: 

Fatek es consciente del problema y está desarrollando una solución. Para más información, contactar con Fatek por correo electrónico o por teléfono: +886-2-2808-2192.

Hasta entonces, CISA recomienda aplicar las siguientes medidas de protección básicas:

Detalle: 

Un atacante podría crear un archivo de proyecto, especialmente diseñado, que le permitiría realizar una ejecución de código arbitrario si aprovechase alguna de las siguientes vulnerabilidades:

  • Se ha identificado un problema de uso de memoria después ser liberada (use after free) en el procesamiento de los archivos de proyecto. Se ha asignado el identificador CVE-2021-22662 para esta vulnerabilidad.
  • Un puntero no inicializado podría ser explotado mientras la aplicación procesa archivos de proyecto. Se ha asignado el identificador CVE-2021-22670 para esta vulnerabilidad.
  • El producto afectado es vulnerable a un desbordamiento del búfer basado en la pila (stack) mientras se procesan los archivos de proyecto. Se ha asignado el identificador CVE-2021-22666 para esta vulnerabilidad.
  • El producto afectado es vulnerable a una escritura fuera de límites al procesar archivos de proyecto. Se ha asignado el identificador CVE-2021-22683 para esta vulnerabilidad.
  • El producto afectado es vulnerable a una lectura fuera de límites al procesar archivos de proyecto. Se ha asignado el identificador CVE-2021-22638 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-21-056-02) Fatek FvDesigner
Etiquetas: 
Infraestructuras críticas
Vulnerabilidad