Inicio / Content / Boletín de INCIBE-CERT del 05-08-2021

Boletín de INCIBE-CERT del 05-08-2021

Vulnerabilidad de CSRF en cámaras IP de Bosch

Fecha de publicación: 
05/08/2021
Importancia: 
4 - Alta
Recursos afectados: 

Recursos afectados: 

  • CPP4, versión 7.10;
  • CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
  • AVIOTEC, versiones 7.61 y 7.72;
  • CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
  • CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
  • CPP13, versión 7.75;
  • CPP14, versión 8.00.
Descripción: 

El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.

Solución: 

Actualizar a la versión 7.81.0060:

  • las versiones 7.70 y 7.80 de CPP6,
  • las versiones 7.61 y 7.72 de AVIOTEC,
  • las versiones 7.70, 7.72 y 7.80 de CPP7 y
  • las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.

Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:

  • Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
  • Si se utiliza la interfaz de configuración basada en web, se recomienda:
    • No abrir otros sitios web o correos electrónicos al tener una sesión activa,
    • No hacer clic en enlaces de fuentes externas no confiables,
    • Utilizar un navegador diferente al predeterminado para iniciar sesión,
    • Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.
Detalle: 

Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.

Encuesta valoración

Múltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicación: 
05/08/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Versiones anteriores a 2021.0.5 LTS de los productos:
    • AXC F 1152,
    • AXC F 2152,
    • AXC F 3152,
    • RFC 4072S,
    • AXC F 2152 Starterkit,
    • PLCnext Technology Starterkit.
  • Activation Wizard, versión 1.4 y anteriores;
  • PC Worx Engineer y PLCNEXT ENGINEER EDU LIC (códigos de licencia), versión 2021.06 y anteriores;
  • FL Network Manager, versión 5.0 y anteriores;
  • códigos de licencia de E-Mobility Charging Suite para EV Charging Suite Setup, versión 1.7.3 y anteriores;
  • IOL-CONF, versión 1.7.0 y anteriores;
  • FL MGUARD DM, versiones:
    • 1.12.0,
    • 1.13.0.
Descripción: 

El investigador, Oliver Carrigan de Dionach, y la empresa Tenable, todos ellos coordinados por el CERT@VDE, han identificado múltiples vulnerabilidades (1 crítica y 3 altas) en distintos productos de Phoenix Contact y WIBU Systems que han reportado a los respectivos fabricantes.

Solución: 
Detalle: 
  • La vulnerabilidad afecta a la comunicación TCP/IP de CodeMeter License Server. El envío de paquetes especialmente diseñados podría hacer que CodeMeter License Server se bloquee o lea datos de la memoria heap. Se ha asignado el identificador CVE-2021-20093 para esta vulnerabilidad crítica.
  • La vulnerabilidad afecta a la comunicación con el servidor CodeMeter CmWAN. El envío de peticiones HTTP(S) especialmente diseñadas al servidor CmWAN puede provocar la caída de CodeMeter License Server. El servidor CmWAN está desactivado por defecto. Se ha asignado el identificador CVE-2021-20094 para esta vulnerabilidad alta.
  • Un dispositivo en la misma red que el controlador que envía una solicitud JSON especialmente diseñada al endpoint /auth/access-token podría causar el reinicio del controlador. Se ha asignado el identificador CVE-2021-34570 para esta vulnerabilidad alta.
  • Los usuarios no autorizados podrían descargar los perfiles de configuración de mGuard desde el servidor web Apache sin proporcionar credenciales. Se ha asignado el identificador CVE-2021-34579 para esta vulnerabilidad alta.

Encuesta valoración

[Actualización 06/08/2021] INFRA:HALT, múltiples vulnerabilidades en NicheStack

Fecha de publicación: 
04/08/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Pila TCP/IP NicheStack, comúnmente utilizada en millones de dispositivos de TO en todo el mundo, incluso en infraestructura crítica como plantas de fabricación, generación / transmisión / distribución de energía, tratamiento de agua, etc.
    • Pila de InterNiche, todas las versiones anteriores a la v4.3;
    • NicheLite, todas las versiones anteriores a la v4.3.

[Actualización 05/08/2021]:

  • Productos afectados de Siemens:
    • SENTRON 3WA COM190, todas las versiones anteriores a la V2.0.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 3WL COM35, todas las versiones anteriores a la V1.2.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, todas las versiones anteriores a la V3.0.4, solo afectados por las vulnerabilidades CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
  • Productos afectados de Phoenix Contact:
    • ILC1x1, variantes 2700973, 2700974, 2700975, 2700976, 2701034 y 2701141, todas las versiones de firmware;
    • ILC1x0, todas las variantes, todas las versiones de firmware;
    • AXC 1050, variantes 2700988 y 2701295, todas las versiones de firmware;
    • EV-PLCC-AC1-DC1, variantes 1624130, todas las versiones de firmware;

[Actualización 06/08/2021]:

  • Productos de Schneider Electric:
    • Lexium ILE ILA ILS, versión de firmware V01.103 y anteriores.
Descripción: 

Se han descubierto 14 vulnerabilidades, 2 de severidad crítica, 10 altas y 2 medias, que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la fuga de información, la suplantación de TCP o el envenenamiento de la caché de DNS.

Solución: 
  • Actualizar a NicheStack v4.3.

Si esto no es posible, realizar las siguientes medidas de mitigación:

  • Ejecutar el script de código abierto de Forescout Research Labs para detectar dispositivos que ejecutan NicheStack. La lista se actualiza constantemente con las últimas firmas.
  • Aislar y segmentar los dispositivos vulnerables del resto de la red hasta que se puedan parchear. Mitigar de acuerdo con la lista a continuación.
    • Para las vulnerabilidades CVE-2020-25928, CVE-2020-25767, CVE-2020-25927, CVE-2021-31228 y CVE-2020-25926: desactivar el cliente DNSv4 si no es necesario o bloquear el tráfico DNSv4. Debido a que existen varias vulnerabilidades que facilitan los ataques de suplantación de DNS, es posible que el uso de servidores DNS internos no sea suficiente (los atacantes pueden secuestrar la correspondencia solicitud-respuesta).
    • Para las vulnerabilidades CVE-2021-31226 y CVE-2021-31227: desactivar el servidor HTTP si no es necesario, o incluir las conexiones HTTP en la lista blanca.
    • Para las vulnerabilidades CVE-2021-31400, CVE-2021-31401 y CVE-2020-35684: monitorizar el tráfico en busca de paquetes IPv4 / TCP con formato incorrecto y bloquearlos. Por ejemplo, debería ser suficiente tener un dispositivo vulnerable detrás de un cortafuegos correctamente configurado.
    • Para la vulnerabilidad CVE-2020-35685, seguir las recomendaciones de NUMBER:JACK, siempre que sea posible.
    • Para la vulnerabilidad 2020-35683: supervisar el tráfico de paquetes ICPMv4 con formato incorrecto y bloquearlos.
  • Supervisar los parches publicados por los proveedores de dispositivos y crear un plan para la continuidad del negocio hasta que se complete la reparación completa. Los parches lanzados por HCC Embedded, la compañía que adquirió InterNiche Technologies, están disponibles bajo demanda.
  • Controlar los paquetes maliciosos que intentan explotar estas vulnerabilidades u otras.

[Actualización 05/08/2021]:

  • Para los productos de Siemens:
    • SENTRON 3WA COM190, actualizar a la V2.0.0 o posterior.
    • SENTRON 3WL COM35, actualizar a la V1.2.0 o posterior.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, actualizar a la V3.0.4 o posterior.
  • Para los productos afectados de Phoenix Contact:
    • Phoenix Contact recomienda encarecidamente utilizar los dispositivos exclusivamente en redes cerradas y protegidas por un cortafuegos adecuado. Phoenix Contact ofrece la familia de productos mGuard para la segmentación y protección de la red.

[Actualización 06/08/2021]:

  • Para los productos de Schneider Electric:
    • Se está trabajando en una próxima actualización. Hasta que esté disponible se recomiendan las siguientes medidas de mitigación:
      • Implantar un cortafuegos para restringir el acceso de la red a las unidades,
      • Configurar el controlador asociado a las unidades deshabilitando el reenvío de IP como se describe en la ayuda en línea de su controlador,
      • Configurar el controlador con listas de control de acceso dedicadas.
Detalle: 

Las vulnerabilidades de severidad crítica son:

  • La rutina para analizar las respuestas de DNS no comprueba el campo de "longitud de datos de respuesta" de las respuestas de DNS individuales, lo que puede permitir a un atacante la ejecución remota de código mediante la lectura o escritura fuera de límites. Se ha asignado el identificador CVE-2020-25928 para esta vulnerabilidad.
  • La falta de validación de tamaño de las solicitudes HTTP POST podría permitir a un atacante la ejecución remota de código mediante un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-31226 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta y media se han asignado los identificadores: CVE-2020-25767, CVE-2020-25927,  CVE-2021-31227,  CVE-2021-31400,  CVE-2021-31401,  CVE-2020-35683,  CVE-2020-35684,  CVE-2020-35685,  CVE-2020-27565,  CVE-2021-36762,  CVE-2020-25926 y CVE-2021-31228.

Encuesta valoración