Inicio / Content / Boletín de INCIBE-CERT del 16-06-2022

Boletín de INCIBE-CERT del 16-06-2022

Avisos de seguridad de Siemens de junio de 2022

Fecha de publicación: 
16/06/2022
Identificador: 
INCIBE-2022-0790
Importancia: 
5 - Crítica
Recursos afectados: 
  • Xpedition Designer, versiones anteriores a X.2.11;
  • SINEMA Remote Connect Server, versiones anteriores a 3.0 SP2;
  • Mendix SAML Module:
    • Mendix 7, versiones anteriores a 1.16.6;
    • Mendix 8, versiones anteriores a 2.2.2;
    • Mendix 9, versiones anteriores a 3.2.3.
  • Distintos modelos y versiones de OPC UA Connector, PROFINET IO Connector, SIMATIC, RUGGEDCOM, SCALANCE, SINEMA, SIPLUS, TeleControl Server Basic, TIA y TIM listados en varios avisos del fabricante.
  • Todas las versiones de EN100 Ethernet module:
    • DNP3 IP,
    • IEC 104,
    • IEC 61850,
    • Modbus TCP,
    • PROFINET IO.
  • Teamcenter Active Workspace:
    • versiones anteriores a 5.2.9;
    • versiones anteriores a 6.0.3.
  • Todas las versiones que usan Shared HIS en Spectrum Power 4, 7 y MGMS.
Descripción: 

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle: 

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 15 vulnerabilidades críticas, 18 altas, 24 medias y 2 bajas.

Los tipos de nuevas vulnerabilidades críticas publicadas se corresponden con los siguientes:

  • Escritura fuera de límites - CVE-2021-39275.
  • Server-Side Request Forgery (SSRF) - CVE-2021-40438.
  • Error de validación de origen - CVE-2022-30228.
  • Falta de autentificación en una función crítica - CVE-2022-30229, CVE-2022-30230.
  • Desbordamiento o ajuste de enteros -  CVE-2022-22822, CVE-2022-22823, CVE-2022-22824 y CVE-2022-23990.
  • Codificación o escape incorrecto de la salida -  CVE-2022-25235.
  • Exposición del recurso a la esfera equivocada - CVE-2022-25236.
  • Desbordamiento de enteros o envoltura - CVE-2022-25315.
  • Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) -  CVE-2020-27304.
  • Uso de credenciales en texto claro - CVE-2022-31619.

Encuesta valoración

Múltiples vulnerabilidades en productos ABB

Fecha de publicación: 
16/06/2022
Identificador: 
INCIBE-2022-0791
Importancia: 
4 - Alta
Recursos afectados: 
  • Drive Compose entry, versiones desde la 2.0 hasta la 2.7;
  • Drive Composer pro, versiones desde la 2.0 hasta la 2.7;
  • ABB Automation Builder, versiones desde la 1.1.0 hasta la 2.5.0;
  • Mint WorkBench, build 5866 y anteriores.
Descripción: 

ABB ha publicado 4 vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario en el sistema.

Solución: 

Actualizar a:

  • Drive Composer entry, versión 2.7.1;
  • Drive Composer pro, versión 2.7.1;
  • Mint WorkBench, build 5868.

Para el producto:

  • ABB Automation Builder, consultar los 'workarounds' de la sección de Referencias.
Detalle: 

Un atacante con pocos privilegios podría crear y escribir contenido arbitrario en un nuevo archivo como SYSTEM. Se han asignado los identificadores CVE-2022-31217, CVE-2022-31218, CVE-2022-31219 y CVE-2022-26057 para estas vulnerabilidades.

Encuesta valoración

Múltiples vulnerabilidades en OPC UA .NET Standard Stack

Fecha de publicación: 
16/06/2022
Identificador: 
INCIBE-2022-0792
Importancia: 
4 - Alta
Recursos afectados: 
  • OPC UA .NET Standard Stack, versiones anteriores a 1.4.368.58;
  • OPC UA .NET Legacy, versiones anteriores al commit 35199e43d46f0eef793cace12baa806838ddba2c.
Descripción: 

Diversas investigaciones han revelado 5 vulnerabilidades: 4 de severidad alta y 1 media, que afectan a OPC UA .NET Standard Stack y OPC UA .NET Legacy.

Solución: 

Actualizar a:

Detalle: 

Las vulnerabilidades detectadas podrían permitir a un atacante causar un bucle infinito, lanzar una excepción de falta de memoria, omitir el mecanismo de autenticaión de la aplicación o provocar un desbordamiento de búfer. Se han asignado los identificadores CVE-2022-29862, CVE-2022-29863, CVE-2022-29864, CVE-2022-29865 (único con severidad media) y CVE-2022-29866 para estas vulnerabilidades.

Encuesta valoración

Múltiples vulnerabilidades en servidores Metasys ADS ADX OAS de Johnson Controls

Fecha de publicación: 
16/06/2022
Identificador: 
INCIBE-2022-0788
Importancia: 
4 - Alta
Recursos afectados: 

Todas las versiones de Metasys ADS/ADX/OAS 10 y 11.

Descripción: 

Johnson Controls informó de varias vulnerabilidades que podrían permitir que los usuarios, no autorizados, comprometan las contraseñas e inyecten código malicioso en las interfaces web.

Solución: 

Johnson Controls ha publicado nuevas versiones que corrigen estas vulnerabilidades:

  • Metasys ADS/ADX/OAS Versión 10, parche 10.1.5;
  • Metasys ADS/ADX/OAS Versión 11, parche 11.0.2
Detalle: 

Johnson Controls ha corregido varias vulnerabilidades que permitirían un cambio de contraseñas no verificado, e inyección de código malicioso por medio de Cross-site Scripting (XSS). Se han asignado los identificadores CVE‐2022‐21935, CVE‐2022‐21937 y CVE‐2022‐21938.

Encuesta valoración

[Actualización 23/06/2022] Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 
16/06/2022
Identificador: 
INCIBE-2022-0789
Importancia: 
5 - Crítica
Recursos afectados: 
  • Geo SCADA Mobile, build 222 y anteriores;
  • Conext™ ComBox, todas las versiones;
  • EcoStruxure Power Commission, versiones anteriores a la V2.22;
  • Schneider Electric C-Bus Network Automation Controller, versión LSS5500NAC V1.10.0 y anteriores;
  • Schneider Electric Wiser for C-Bus Automation Controller, versión LSS5500SHAC V1.10.0 y anteriores;
  • Clipsal C-Bus Network Automation Controller, versión 5500NAC V1.10.0 y anteriores;
  • Clipsal Wiser for C-Bus Automation Controller, versión 5500SHAC V1.10.0 y anteriores;
  • SpaceLogic C-Bus Network Automation Controller, versión 5500NAC2 V1.10.0 y anteriores;
  • SpaceLogic C-Bus Application Controller, versión 5500AC2 V1.10.0 y anteriores;
  • CanBRASS, versiones anteriores a la V7.5.1;
  • EcoStruxure™ Cybersecurity Admin Expert (CAE), versiones 2.2 y anteriores.
Descripción: 

Schneider ha publicado 24 vulnerabilidades, siendo 9 de severidad crítica, 9 altas, 5 medias y 1 baja.

Solución: 

Aplicar las actualizaciones y las medidas de mitigación descritas en Mitigations en la sección de Referencias de cada uno de los productos.

Detalle: 

Las vulnerabilidades de severidad crítica son:

  • La copia de búfer sin comprobación del tamaño de entrada (desbordamiento de búfer clásico) podría permitir a un atacante la ejecución remota de código, mediante el envío de mensajes de datos de alarma especialmente diseñados. Se han asignado los identificadores: CVE-2022-32522, CVE-2022-32523, CVE-2022-32524, CVE-2022-32525, CVE-2022-32526, CVE-2022-32527 y CVE-2022-32529.
  • Los requisitos débiles en las contraseñas, podrían permitir a un atacante obtener el control del dispositivo mediante la fuerza bruta. Se ha asignado el identificador CVE-2022-32513 para esta vulnerabilidad.
  • La autenticación incorrecta podría permitir a un atacante obtener el control del dispositivo al iniciar sesión en una página web. Se ha asignado el identificador CVE-2022-32514 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-32528, CVE-2022-32515, CVE-2022-32516, CVE-2022-32518, CVE-2022-32519, CVE-2022-32520, CVE-2022-32521, CVE-2022-32747 y CVE-2022-32748.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-32530, CVE-2022-32517, CVE-2022-0223, CVE-2022-22731 y CVE-2022-32512.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2022-22732.

Encuesta valoración