Inicio / Content / Boletín de INCIBE-CERT del 09-10-2019

Boletín de INCIBE-CERT del 09-10-2019

Múltiples vulnerabilidades en el controlador Mark Vle de GE

Fecha de publicación: 
09/10/2019
Importancia: 
3 - Media
Recursos afectados: 

Todas las versiones del controlador Mark Vle.

Descripción: 

El investigador Sharon Brizinov de Claroty ha reportado varias vulnerabilidades en el software que afecta al controlador Mark Vle. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante la lectura, escritura o ejecución comandos en el controlador.

Solución: 

GE recomienda las siguientes soluciones para mitigar estos problemas:

  • Deshabilitar el servicio Telnet, que se encuentra habilitado por defecto en el controlador Mark Vle en las versiones  6.0 y anteriores.
  • Cambiar la contraseña al desplegar el controlador Mark Vle dentro del entorno operativo.
     
Detalle: 
  • Una vulnerabilidad se debe a una implementación insegura del protocolo Telnet en el dispositivo. Un atacante podría autenticarse con credenciales predeterminadas. Se ha reservado el identificador CVE-2019-13554 para esta vulnerabilidad.
  • La otra vulnerabilidad se debe a la existencia de credenciales embebidas, con privilegios de root, en el dispositivo. Un atacante podría acceder controlador con privilegios de root.

Encuesta valoración

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 
09/10/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Modicon M580 (todas las versiones de firmware),
  • Modicon M340 (todas las versiones de firmware),
  • Modicon Premium (todas las versiones de firmware),
  • Modicon Quantum (todas las versiones de firmware),
  • Modicon BMxCRA and 140CRA modules (todas las versiones de firmware),
  • Modicon Premium (todas las versiones de firmware),
  • Modicon Quantum (todas las versiones de firmware),
  • Modicon BMENOC 0311,
  • Modicon BMENOC 0321.
Descripción: 

Se han publicado múltiples vulnerabilidades del tipo exposición de información de archivo y directorio, excepciones no controladas en el programa, transmisión en claro de información sensible y exposición de la misma, que podrían permitir a un atacante obtener información sensible o provocar una denegación de servicio.

Solución: 

El fabricante no ha liberado parches para estas vulnerabilidades, en su lugar detalla pasos a seguir para mitigar el problema en función del producto afectado. Consultar la sección de referencias para más información.

Detalle: 

A continuación, se detallan las vulnerabilidades de severidad alta:

  • La vulnerabilidad del tipo exposición de información de archivo y directorio, podría permitir a un atacante obtener información del controlador cuando el protocolo TFTP está en uso. Se ha asignado el identificador CVE-2019-6851 para esta vulnerabilidad.
  • La vulnerabilidad del tipo exposición de información podría permitir a un atacante obtener información sensible cuando están en uso servicios de Modbus provistos por el REST API del módulo de comunicación del controlador. Se han asignado los identificadores CVE-2019-6849 y CVE-2019-6850 para esta vulnerabilidad.
  • La vulnerabilidad del tipo excepción no controlada en el programa, podría permitir a un atacante causar una denegación de servicio en el PLC al mandar datos específicos al API REST del módulo de comunicación del controlador. Se ha asignado el identificador CVE-2019-6848 para esta vulnerabilidad.

Para el resto de las vulnerabilidades, se han asignado los identificadores: CVE-2019-6841, CVE-2019-6842, CVE-2019-6843, CVE-2019-6844, CVE-2019-6845, CVE-2019-6846 y CVE-2019-6847.

Vulnerabilidad CSRF en Sunny WebBox de SMA Solar Technology AG

Fecha de publicación: 
09/10/2019
Importancia: 
5 - Crítica
Recursos afectados: 

Sunny WebBox, versión 1.6 de firmware y anteriores.

Descripción: 

Los investigadores Borja Merino y Eduardo Villaverde, de la Universidad de León, coordinaron esta vulnerabilidad con Carlos del Canto y Victor Fidalgo, del área de ciberseguridad para Sistemas de Control Industrial de INCIBE, han reportado una vulnerabilidad, de tipo CSRF (Cross-Site Request Forgery), que permitiría a un atacante remoto realizar acciones con los permisos del usuario.

Solución: 

El producto actual no tiene soporte, por lo que SMA recomienda aplicar las siguientes medidas:

  • Desactivar la redirección de puertos y emplear una VPN.
  • Cambiar todas las contraseñas por defecto.
  • Cerrar todos los puertos del sistema o router que no vayan a usarse.
Detalle: 

La explotación de esta vulnerabilidad por parte de un atacante podría generar una condición de denegación de servicio, la modificación de contraseñas, activar servicios, realizar ataques man-in-the-middle y modificar los parámetros de entrada de los dispositivos, como por ejemplo sensores. El atacante envía un enlace malicioso a un operador autenticado, lo que permitiría a este ejecutar acciones con los permisos de dicho usuario. Se ha reservado el identificador CVE-2019-13529 para esta vulnerabilidad.

Encuesta valoración