Inicio / Content / Boletín de INCIBE-CERT del 08-10-2018

Boletín de INCIBE-CERT del 08-10-2018

Múltiples vulnerabilidades en productos de Auto-Maskin

Fecha de publicación: 
08/10/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Paneles remotos Auto-Maskin RP 210E, [Actualización 21/02/2020] versiones 3.7 y anteriores;
  • Unidades de control DCU 210E, [Actualización 21/02/2020] versiones 3.7 y anteriores;
  • Aplicación de monitorización Marine Pro Observer para dispositivos móviles.
Descripción: 

Los investigadores Brian Satira y Brian Olson han reportado varias vulnerabilidades de tipo contraseña embebida, validación incorrecta de comunicaciones y transmisión de datos sensibles en texto plano, que podrían ser aprovechadas de manera remota por un potencial atacante que podría llegar a acceder a las unidades y a los motores que están conectados en red y obtener información sensible que se transmita por la misma.

Solución: 

Como medida preventiva se aconseja aislar los dispositivos afectados de tal forma que sólo sean accesibles desde redes privadas que hayan sido aseguradas.

[Actualización 21/02/2020] Auto-Maskin ha publicado nuevas versiones de firmware para solucionar estas vulnerabilidades.

Detalle: 
  • Contraseñas embebidas: El firmware del dispositivo DCU 210E contiene un servidor dropbear SSH no documentado que posee credenciales embebidas. Además, la contraseña es susceptible a ser crackeada con facilidad. Se ha asignado el identificador CVE–2018-5399 para esta vulnerabilidad.
  • Validación incorrecta de comunicaciones: Los productos Auto-Maskin utilizan un protocolo personalizado no documentado para configurar comunicaciones Modbus con otros dispositivos sin realizar una validación de los mismos. Se ha asignado el identificador CVE–2018-5400 para esta vulnerabilidad.
  • Transmisión de información sensible en texto plano: Los dispositivos afectados transmiten información sensible del proceso mediante comunicaciones Modbus sin cifrar. Se ha asignado el identificador CVE–2018-5401 para esta vulnerabilidad.
  • Transmisión de información sensible en texto plano: El servidor web embebido utiliza comunicaciones en texto plano para transmitir el PIN del administrador. Se ha asignado el identificador CVE–2018-5402 para esta vulnerabilidad.
  • [Actualización 21/02/2020] Mecanismo débil de recuperación de contraseñas: El software presenta un mecanismo débil de recuperación de contraseñas olvidadas. Se ha asignado el identificador CVE-2019-6560 para esta vulnerabilidad.
  • [Actualización 21/02/2020] Requisitos de contraseñas débiles: El producto contiene múltiples requisitos de contraseñas débiles, lo que facilita a los atacantes comprometer las cuentas de los usuarios. Se ha asignado el identificador CVE-2019-6558 para esta vulnerabilidad.

Encuesta valoración

Divulgación de información en Vue RIS de Carestream

Fecha de publicación: 
08/10/2018
Importancia: 
2 - Baja
Recursos afectados: 
  • RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.
Descripción: 

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución: 

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

  • Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
    • Deshabilitar “Show debug messages”
    • Habilitar SSL para comunicaciones cliente/servidor
Detalle: 

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Encuesta valoración

Etiquetas: 

Divulgación de información en PeerVue Web Server de Change Healthcare

Fecha de publicación: 
08/10/2018
Importancia: 
2 - Baja
Recursos afectados: 
  • PeerVue Web Server todas las versiones hasta la 7.6.2
Descripción: 

Dan Regalado, de Zingbox, ha reportado una vulnerabilidad del tipo divulgación de información en el producto PeerVue Web Server de Change Healthcare. Un potencial atacante podría obtener información técnica sobre PeerVue Web Server pudiendo utilizarla para un posible ataque posterior.

Solución: 

Change Healthcare ha lanzado un parche que soluciona esta vulnerabilidad. Los usuarios deben ponerse en contacto con el equipo de asistencia de Change Healthcare para obtener información sobre dicho parche.

Detalle: 

Un atacante podría aprovechar un fallo en el manejo de errores en las comunicaciones HTTP con el servidor para obtener información técnica. Se ha asignado el identificador CVE-2018-10624 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: 

Inyección de comandos en router industrial EDR-810 Series de Moxa

Fecha de publicación: 
08/10/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • EDR-810 Series con versión de firmware 4.2 o anterior
Descripción: 

Moxa ha reportado una vulnerabilidad del tipo de inyección de comandos en el servidor web de los routers EDR-810. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto ejecutar comandos en el sistema operativo del dispositivo afectado con permisos de superusuario.

Solución: 

Moxa ha solucionado esta vulnerabilidad publicando una nueva versión de firmware para el dispositivo afectado.

La nueva versión de firmware puede descargarse desde el siguiente enlace: https://www.moxa.com/support/download.aspx?type=support&id=15851

Detalle: 

Un atacante remoto podría aprovechar una vulnerabilidad de inyección de comandos en el servidor web de Moxa en los dispositivos afectados para ejecutar comandos en el sistema operativo con privilegios de superusuario mediante el parámetro CA name presente en la URI /xml/net_WebCADELETEGetValue. Se ha asignado el identificador CVE-2018-16282 para esta vulnerabilidad.

Encuesta valoración