Inicio / Content / Boletín de INCIBE-CERT del 01-04-2020

Boletín de INCIBE-CERT del 01-04-2020

Desbordamiento de búfer en múltiples productos de Hirschmann

Fecha de publicación: 
01/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Los dispositivos RSP, RSPE, RSPS, RSPL, MSP, EES, EES, EESX, GRS, OS, RED que emplean HiOS en la versión 07.0.02 y anteriores.
  • Los dispositivos EAGLE20/30, que emplean HiSecOS en la versión 03.2.00 y anteriores.
Descripción: 

Los investigadores Sebastian Krause y Toralf Gimpel, de GAI NetConsult GmbH, han reportado una vulnerabilidad de severidad crítica que afecta a múltiples productos de Hirschmann. Un atacante remoto, no autenticado, podría realizar un desbordamiento de búfer y comprometer el dispositivo.

Solución: 
  • Actualizar los productos que utilizan HiOS a la versión 07.0.03 o superior.
  • Actualizar los productos que utilizan HiSecOS a la versión 03.3.00 o superior.
Detalle: 

La vulnerabilidad se debe a un análisis inapropiado de los argumentos del URL. Un atacante podría explotar esta vulnerabilidad creando específicamente solicitudes HTTP para desbordar un búfer interno. Se ha reservado el identificador CVE-2020-6994 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Fecha de publicación: 
01/04/2020
Importancia: 
3 - Media
Recursos afectados: 
  • Pyxis MedStation ES System, versión 1.6.1;
  • Pyxis Anesthesia (PAS) ES System, versión 1.6.1.
Descripción: 

El equipo de BD ha reportado una vulnerabilidad de fallo del mecanismo de protección en múltiples productos de BD que podría permitir a un atacante con acceso físico ver y/o modificar datos sensibles del dispositivo.

Solución: 

BD no ha liberado ninguna actualización para solucionar dicha vulnerabilidad, pero recomienda a los clientes aplicar las siguientes medidas:

  • Limitar el acceso físico a los sistemas Pyxis Medstation ES y Anesthesia (PAS) ES sólo a los usuarios autorizados;
  • aislar los sistemas impactados y conéctelos sólo a los sistemas de confianza;
  • vigilar e investigar los reinicios imprevistos de los sistemas utilizando las herramientas de vigilancia de redes proporcionadas por los departamentos de TI.
Detalle: 

Una vulnerabilidad de escape del entorno de escritorio restringido, en la funcionalidad del modo quiosco de los dispositivos afectados, podría permitir a un atacante  acceder a datos sensibles mediante entradas especialmente diseñadas. Se ha asignado el identificador CVE-2020-10598 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Fecha de publicación: 
01/04/2020
Importancia: 
2 - Baja
Recursos afectados: 

Tab-Ex 02, versión 01.03.2020 y anteriores.

Descripción: 

Investigadores de ESET han reportado una vulnerabilidad, de severidad baja, conocida como Kr00k, de tipo fuga de información, que afecta al producto Tab-Ex 02 del fabricante PEPPERL+FUCHS.

Solución: 

El fabricante planea publicar una actualización en mayo de 2020 para el producto afectado.

Detalle: 

La vulnerabilidad detectada afecta al tráfico cifrado de wifi para los dispositivos que utilizan los chipsets Broadcom o Cypress, permitiendo a un atacante descifrar parte del tráfico WPA2-Personal/Enterprise, forzando a un AP(Access Point)/cliente a empezar a utilizar una clave de cifrado all-zero. Se ha asignado el identificador CVE-2019-15126 para esta vulnerabilidad.

Encuesta valoración