Inicio / Content / Boletín de INCIBE-CERT del 08-10-2021

Boletín de INCIBE-CERT del 08-10-2021

Múltiples vulnerabilidades en varios productos de Johnson Controls

Fecha de publicación: 
08/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • exacqVision Web Service, versión 21.06.11.0 y anteriores; y
  • exacqVision Server 32-bit, versión 21.06.11.0 y anteriores.
Descripción: 

Tenable Research ha reportado a Johnson Controls una vulnerabilidad de severidad crítica y otra de severidad alta que podrían permitir a un atacante remoto acceder a credenciales o causar una condición de denegación de servicio.

Solución: 

Actualizar:

  • exacqVision Web Service a su versión 21.09, y
  • exacqVision Server 32-bit a su versión 21.09 o a exacqVision Server 64-bit.
Detalle: 
  • El software de exacqVision Web Service no asigna, modifica, monitoriza o comprueba los privilegios de forma correcta, lo que podría permitir a un atacante, remoto y no autenticado, acceder a credenciales almacenadas. Se ha asignado el identificador CVE-2021-27664 para esta vulnerabilidad crítica.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-27665.

Encuesta valoración

Múltiples vulnerabilidades en IR615 Router de InHand Networks

Fecha de publicación: 
08/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 

IR615 Router, versión 2.3.0.r4724 y 2.3.0.r4870.

Descripción: 

Los investigadores Haviv Vaizman, Hay Mizrachi, Alik Koldobsky, Ofir Manzur y Nikolay Sokolik de OTORIO han reportado al CISA 5 vulnerabilidades de severidad crítica, 4 de severidad alta y 4 de severidad media. Estas, podrían permitir a un atacante remoto tomar el control total del dispositivo, interceptar las comunicaciones, acceder a información sensible y credenciales, secuestrar la sesión, realizar ataques de fuerza bruta contra contraseñas de usuarios, cargar archivos maliciosos, eliminar archivos del sistema y ejecutar código de forma remota.

Solución: 

Se recomienda ponerse en contacto con el servicio de atención al cliente de InHand Networks para recibir una solución.

Detalle: 
  • El producto afectado presenta una vulnerabilidad de cross-site request forgery (CSRF) cuando se envían comandos no autorizados desde un usuario en el que la aplicación web confía, Esto podría permitir a un atacante remoto realizar acciones en el portal de gestión del router, como cambios en la configuración o credenciales de administrador, o la ejecución de comandos. Se ha asignado el identificador CVE-2021-38480 para esta vulnerabilidad crítica. 
  • El producto afectado no tiene un filtro o un mecanismo de comprobación de firmas para detectar o prevenir la carga de archivos maliciosos al servidor, lo que podría permitir a un atacante eliminar archivos del sistema, ejecutar código de forma remota o realizar un ataque de tipo XSS. Se ha asignado el identificador CVE-2021-38484 para esta vulnerabilidad crítica.
  • El producto afectado es vulnerable a que un atacante utilice una herramienta de ping o traceroute para inyectar comandos en el dispositivo, lo que podría permitir la ejecución remota de comandos en el lado del dispositivo. Se han asignado los identificadores CVE-2021-38470 y CVE-2021-38478 para estas vulnerabilidades críticas.
  • Una política de contraseñas no eficiente podría permitir a un atacante, en posesión de credenciales, listar contraseñas y hacer un spoofing a otros usuarios de la aplicación. Se ha asignado el identificador CVE-2021-38462 para esta vulnerabilidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-38486, CVE-2021-38466, CVE-2021-38482 y CVE-2021-38468.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38472, CVE-2021-38464, CVE-2021-38474 y CVE-2021-38476.

Múltiples vulnerabilidades en productos FATEK Automation

Fecha de publicación: 
08/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • WinProladder, versión 3.30 y anteriores;
  • Communication Server, versión 1.13 y anteriores.
Descripción: 

xina1i y Natnael Samson, en colaboración con ZDI de Trend Micro, han reportado 8 vulnerabilidades, 1 de severidad crítica, 6 altas y 1 baja, cuya explotación podrían permitir a un atacante ejecutar código arbitrario o de manera remota, corromper el montículo (heap) de la memoria y divulgar información no autorizada.

Solución: 

FATEK Automation no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se recomienda a los usuarios de estos productos afectados ponerse en contacto con el servicio de atención al cliente de FATEK para obtener información adicional.

Adicionalmente, se recomienda aplicar las medidas de mitigación descritas en el apartado 4. MITIGATIONS de cada aviso del CISA.

Detalle: 
  • El producto afectado carece de una validación adecuada de los datos suministrados por el usuario, lo que podría dar lugar a una condición de desbordamiento de búfer basada en la pila (stack) y permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-38432 para esta vulnerabilidad crítica.
  • Las vulnerabilidades con severidad alta son de uso de memoria después de ser liberada, escritura fuera de límites, extensión de signo no esperado, desbordamiento de búfer basado en pila (stack) y corrupción de memoria. Se han asignado los identificadores CVE-2021-38438, CVE-2021-38426, CVE-2021-38434, CVE-2021-38430, CVE-2021-38436 y CVE-2021-38442.
  • La vulnerabilidad con severidad baja es de lectura fuera de límites. Se ha asignado el identificador CVE-2021-38440.

Encuesta valoración

[Actualización 08/10/2021] Vulnerabilidad de CSRF en cámaras IP de Bosch

Fecha de publicación: 
05/08/2021
Importancia: 
4 - Alta
Recursos afectados: 

Recursos afectados: 

  • CPP4, versión 7.10;
  • CPP6, versiones 7.60, 7.61, 7.70 y 7.80;
  • AVIOTEC, versiones 7.61 y 7.72;
  • CPP7, versiones 7.60, 7.61, 7.70, 7.72 y 7.80;
  • CPP7 3, versiones 7.60, 7.61, 7.62, 7.70, 7.72, 7.73 y 7.80;
  • CPP13, versión 7.75;
  • CPP14, versión 8.00.
Descripción: 

El investigador, Andrey Muravitsky, de Kaspersky ICS CERT, ha descubierto una vulnerabilidad de severidad alta por la que un atacante remoto, no autentificado, podría comprometer los sistemas afectados.

Solución: 

Actualizar a la versión 7.81.0060:

  • las versiones 7.70 y 7.80 de CPP6,
  • las versiones 7.61 y 7.72 de AVIOTEC,
  • las versiones 7.70, 7.72 y 7.80 de CPP7 y
  • las versiones 7.70, 7.72, 7.73 y 7.80 de CPP7.3.

[Actualización 08/10/2021]

  • Actualizar a la versión 8.10.0075 la versión 7.75 de CPP13.
  • Actualizar a la versión 8.20.0126 la versión 8.00 de CPP14.

Para el resto de versiones, no existe una solución por el momento, por lo que se recomiendan las siguientes medidas de mitigación:

  • Configurar la cámara mediante una herramienta de Bosch, como Configuration Manager, no vulnerable.
  • Si se utiliza la interfaz de configuración basada en web, se recomienda:
    • No abrir otros sitios web o correos electrónicos al tener una sesión activa,
    • No hacer clic en enlaces de fuentes externas no confiables,
    • Utilizar un navegador diferente al predeterminado para iniciar sesión,
    • Cerrar sesión o cerrar el navegador para borrar los datos de la sesión.
Detalle: 

Una vulnerabilidad de cross-site request forgery (CSRF) en la interfaz basada en web podría permitir a un atacante remoto no autentificado realizar acciones en el sistema afectado en nombre de otro usuario, mediante el engaño de la víctima para que haga clic en un enlace malicioso o abra un sitio web malicioso mientras está conectada a la cámara. A esta vulnerabilidad se le ha asignado el identificador CVE-2021-23849.

Encuesta valoración