Inicio / Content / Boletín de INCIBE-CERT del 08-06-2021

Boletín de INCIBE-CERT del 08-06-2021

Inyección de comandos del sistema operativo en SGE-PLC1000 de Circutor

Fecha de publicación: 
08/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 

SGE-PLC1000, versión de firmware 0.9.2b.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo SGE-PLC1000, con el código interno INCIBE-2021-0227, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, con mención especial para Aarón Flecha.

A esta vulnerabilidad se le ha asignado el código CVE-2021-33841. Se ha calculado una puntuación base CVSS v3.1 de 9,6; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución: 

Actualizar a la última versión de firmware facilitada por el fabricante.

Detalle: 

El dispositivo SGE-PLC1000, versión de firmware 0.9.2b, maneja de forma inadecuada ciertas peticiones, permitiendo a un atacante remoto inyectar código con máximos privilegios en el sistema operativo.

Esta vulnerabilidad fue reportada a Circutor y ha sido resuelta en versiones de firmware posteriores a la afectada.

CWE-78: neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (inyección de comando de sistema operativo).

Línea temporal:

04/07/2017 – Divulgación de los investigadores.
17/08/2020 – Los investigadores contactan con INCIBE.
26/03/2021 – Circutor confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
08/06/20201 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Autenticación incorrecta en SGE-PLC1000 de Circutor

Fecha de publicación: 
08/06/2021
Importancia: 
4 - Alta
Recursos afectados: 

SGE-PLC1000, versión de firmware 0.9.2b.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo SGE-PLC1000, con el código interno INCIBE-2021-0228, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, con mención especial para Aarón Flecha.

A esta vulnerabilidad se le ha asignado el código CVE-2021-33842. Se ha calculado una puntuación base CVSS v3.1 de 8.0; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H.

Solución: 

Esta vulnerabilidad puede resolverse mediante una actualización de firmware que ya ha sido publicada por el proveedor.

Detalle: 

Un uso incorrecto del parámetro cookie en el dispositivo SGE-PLC1000 de Circutor, permite a un atacante realizar operaciones como un usuario autenticado.

Para explotar esta vulnerabilidad, el atacante debe estar dentro de la red donde se encuentra el dispositivo afectado.

Esta vulnerabilidad fue reportada a Circutor y ha sido resuelta desde entonces en versiones de firmware posteriores a la afectada.

CWE-287: autenticación Incorrecta.

Línea temporal:

04/07/2017 – Divulgación de los investigadores.
17/08/2020 – Los investigadores contactan con INCIBE.
26/03/2021 – Circutor confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
08/06/20201 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración