Inicio / Content / Boletín de INCIBE-CERT del 19-03-2021

Boletín de INCIBE-CERT del 19-03-2021

Múltiples vulnerabilidades en productos Hitachi ABB

Fecha de publicación: 
19/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • eSOMS, versiones 6.0 anteriores a la 6.0.4.2.2;
  • eSOMS, versiones 6.1 anteriores a la 6.1.4;
  • eSOMS, versiones anteriores a la 6.3;
  • eSOMS, todas las versiones anteriores a la 6.3 que utilicen una versión de software Telerik.
Descripción: 

Hitachi ABB Power Grids ha reportado al CISA múltiples vulnerabilidades, en sus productos eSOMS, que podrían permitir a un atacante leer y eliminar una imagen del servidor, realizar cargas de archivos arbitrarias, ejecutar código arbitrario o romper los mecanismos de protección criptográfica.

Solución: 
Detalle: 

Las vulnerabilidades de severidad crítica son:

  • La limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal) podría permitir a un atacante remoto leer y eliminar una imagen con extensión .BMP, .EXIF, .GIF, .ICON, .JPEG, .PNG, .TIFF o .WMF en el servidor, a través de una solicitud especialmente diseñada. Se ha asignado el identificador CVE-2019-19790 para esta vulnerabilidad.
  • Una vulnerabilidad de deserialización .NET en la función RadAsyncUpload podría ser explotada por un atacante que conozca  las claves de cifrado. Se ha asignado el identificador CVE-2019-18935 para esta vulnerabilidad.
  • Progress Telerik no restringe correctamente la entrada del usuario a RadAsyncUpload, lo que podría permitir a los atacantes remotos realizar cargas de archivos arbitrarias o ejecutar código arbitrario. Se ha asignado el identificador CVE-2017-11357 para esta vulnerabilidad.
  • Telerik.Web.UI utiliza un cifrado débil de RadAsyncUpload, lo que podría permitir a los atacantes remotos realizar cargas de archivos arbitrarias o ejecutar código arbitrario. Se ha asignado el identificador CVE-2017-11317 para esta vulnerabilidad.
  • La protección inadecuada de Telerik.Web.UI.DialogParametersEncryptionKey o MachineKey, podría permitir a los atacantes remotos romper los mecanismos de protección criptográfica, lo que llevaría a una fuga de MachineKey, cargas o descargas de archivos arbitrarios, XSS o al compromiso de ASP.NET ViewState. Se ha asignado el identificador CVE-2017-9248 para esta vulnerabilidad.

El resto de vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2021-26845, CVE-2014-2217 y CVE-2014-4958.

Encuesta valoración

Exposición de información en exacqVision Web Service de Johnson Controls

Fecha de publicación: 
19/03/2021
Importancia: 
3 - Media
Recursos afectados: 

exacqVision Web Service, todas las versiones hasta la 20.12.2.0 incluida.

Descripción: 

El investigador Milan Kyselica ha reportado a Johnson Controls una vulnerabilidad de severidad media que podría permitir a un atacante remoto acceder a información confidencial.

Solución: 

Actualizar a la versión 21.03.3 u otra posterior.

Detalle: 

Una vulnerabilidad en el producto afectado podría permitir a un atacante remoto y no autorizado acceder a información confidencial a nivel de sistema sobre el exacqVision Web Service o el sistema operativo. Se ha asignado el identificador CVE-2021-27656 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad XSS en WebAccess/SCADA de Advantech

Fecha de publicación: 
17/03/2021
Importancia: 
3 - Media
Recursos afectados: 

WebAccess/SCADA, versión 9.0 y anteriores.

Descripción: 

Chizuru Toyama, de TXOne IoT/ICS Security Recearch Labs perteneciente a Trend Micro, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto secuestrar las cookies o tokens de sesión de un usuario o redirigirlo a una página web maliciosa.

Solución: 

Actualizar a la versión 9.0.1 u otra posterior.

Detalle: 

Una vulnerabilidad de XSS (Cross Site Scripting) podría permitir a un atacante, remoto y no autorizado, enviar código JavaScript malicioso a un usuario para así, secuestrar las cookies o tokens de su sesión, redirigirlo a una página web maliciosa o realizar acciones no deseadas en el navegador. Se ha asignado el identificador CVE-2021-27436 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de la familia UR de GE

Fecha de publicación: 
17/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 

GE informa de que las vulnerabilidades afectan a los siguientes productos de la familia UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) de relés avanzados de protección y control:

  • vulnerabilidades relacionadas con el soporte a SSH: versiones de firmware desde 7.4x hasta 8.0x (opción CyberSentry);
  • vulnerabilidades del servidor web: todas las versiones de firmware anteriores a 8.1x;
  • protección contra la carga involuntaria de firmware: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • disposiciones para desactivar el modo de fábrica: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • acceso al registro Last-key pressed: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • debilidad en el binario del gestor de arranque de UR: todas las versiones del gestor de arranque anteriores a 7.03/7.04.
Descripción: 

SCADA-X, el programa CyTRICS del DOE (Departamento de Energía), Verve Industrial y VuMetri han reportado a GE 10 vulnerabilidades: 1 crítica, 5 altas y 4 medias.

Solución: 

GE recomienda a los usuarios con versiones de firmware afectadas que actualicen sus dispositivos UR a la versión 8.10 o superior del firmware UR para resolver estas vulnerabilidades. El fabricante proporciona mitigaciones adicionales e información sobre estas vulnerabilidades en su aviso GES-2021-004.

Detalle: 
  • UR (Universal Relay) IED (Intelligent Electronic Devices), con variante de seguridad Basic, no permite la desactivación del Factory Mode, que se utiliza para el mantenimiento del IED por parte de un usuario Factory. Se ha asignado el identificador CVE-2021-27426 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2016-2183, CVE-2013-2566, CVE-1999-1085, CVE-2021-27422, CVE-2021-27418, CVE-2021-27420, CVE-2021-27428, CVE-2021-27424 y CVE-2021-27430.

Encuesta valoración

Denegación de servicio en Hitachi ABB Power Grids AFS Series

Fecha de publicación: 
17/03/2021
Importancia: 
3 - Media
Recursos afectados: 

Hitachi ABB Power Grids AFS Series, modelos AFS660/AFS665 versión 7.0.07 con las siguientes variantes:

  • AFS660-SR,
  • AFS665-SR.
Descripción: 

Hitachi ABB Power Grids ha identificado una vulnerabilidad de severidad media que podría causar una denegación de servicio en la serie AFS en uno de los puertos de un anillo HSR.

Solución: 

Hitachi ABB Power Grids ha publicado la versión 7.1.03 que soluciona esta vulnerabilidad modificando la forma en la que el conmutador procesa las tramas HSR.

Detalle: 

La vulnerabilidad encontrada permite que una trama HSR manipulada pueda provocar una condición de denegación de servicio en uno de los puertos de un anillo HSR. Se ha asignado el identificador CVE-2020-9307 para esta vulnerabilidad

Encuesta valoración