Inicio / Content / Boletín de INCIBE-CERT del 20-01-2021

Boletín de INCIBE-CERT del 20-01-2021

Vulnerabilidad en Dnsmasq en Sistemas de Control Industrial

Fecha de publicación: 
20/01/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Dnsmasq DNS y servidor DHCP, versión 2.8.2 y anteriores.

Varios fabricantes de productos de Sistemas de Control Industrial se han visto afectados por esta vulnerabilidad en Dnsmasq, para conocer el listado completo de productos afectados, consulte la sección de referencias.

Descripción: 

Múltiples vulnerabilidades en la implementación de la DNSSEC dnsmasq podrían permitir a un atacante remoto, no autenticado, envenenar la caché, divulgar información, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Las vulnerabilidades se agrupan y se denominan DNSpooq.

Solución: 
  • Actualizar a dnsmasq 2.83.
  • Se recomiendan las siguientes medidas de mitigación:
    • Implementar las características de seguridad de la capa 2, como el DHCP snooping y la protección de la fuente IP.
    • Configurar Dnsmasq para que no escuche las interfaces WAN si no es necesario.
    • Reducir el máximo de consultas permitidas para ser reenviadas con la opción --dns-forward-max=< consultas>. El valor por defecto es 150, pero podría reducirse.
    • Deshabilitar temporalmente la opción de validación de DNSSEC hasta que se actualice.
    • Utilizar DNS-over-HTTPS o DNS-over-TLS para conectarse al servidor upstream.
  • Para conocer las medidas propias de cada fabricante, consulte la sección de referencias.
Detalle: 
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la ordenación de los RRSets antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25681 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la extracción de nombres de paquetes DNS antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25682 para esta vulnerabilidad.
  • Las vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap) cuando DNSSEC está activado, antes de validar las entradas recibidas, podría permitir a un atacante denegar el servicio mediante el envío de respuestas DNS válidas. Se ha asignado el identificador CVE-2020-25683 y CVE-2020-25687 para estas vulnerabilidades.
  • La validación insuficiente de la autenticidad de los datos en la respuesta de una consulta reenviada cuando Dnsmasq comprueba en forward.c:reply_query() si la dirección / puerto de destino de la respuesta, es utilizada por las consultas reenviadas pendientes, podría permitir a un atacante realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25684 para esta vulnerabilidad.
  • El uso de un algoritmo criptográfico roto o débil podría permitir a un atacante encontrar varios dominios diferentes con el mismo hash fuera de ruta, reduciendo considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25685 para esta vulnerabilidad.
  • La validación insuficiente de la autenticidad de los datos, al recibir una consulta en la que Dnsmasq no comprueba si existe una solicitud pendiente con el mismo nombre antes de reenviar una nueva solicitud, podría permitir a un atacante, fuera de la ruta de la red, reducir considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25686 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos P2P de Reolink

Fecha de publicación: 
20/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Todos los productos de las series:

  • RLC-4XX;
  • RLC-5XX;
  • RLN-X10.
Descripción: 

Nozomi Networks ha reportado al CISA dos vulnerabilidades, una de severidad crítica y otra de severidad alta, que podrían permitir a un atacante acceder a información confidencial o comprometer los equipos fuera de la red local.

Solución: 

Se recomienda desactivar la función P2P en los dispositivos Reolink y actualizar el firmware de los mismos.

Detalle: 
  • Un atacante con acceso a la red local podría obtener una clave de cifrado fija que le permitiría comprometer las cámaras P2P Reolink fuera de esta red. Se ha asignado el identificador CVE-2020-25173 para esta vulnerabilidad.
  • La falta de seguridad en el protocolo P2P, para la transferencia de datos entre el dispositivo local y los servidores de Reolink, podría permitir a un atacante acceder a información confidencial. Se ha asignado el identificador CVE-2020-25169 para esta vulnerabilidad.

Encuesta valoración

Neutralización incorrecta de elementos especiales en estaciones de trabajo de Philips

Fecha de publicación: 
20/01/2021
Importancia: 
3 - Media
Recursos afectados: 

Estaciones de trabajo de identificación 12NC correspondiente a:

  • 4598 009 39471;
  • 4598 009 39481;
  • 4598 009 70861;
  • 4598 009 98531;

que ejecuten el siguiente software:

  • Interventional Workspot, versiones 1.3.2, 1.4.0, 1.4.1, 1.4.3 y 1.4.5;
  • Coronary Tools, version 1.0;
  • Dynamic Coronary Roadmap, version 1.0;
  • Stentboost Live, versión 1.0;
  • ViewForum, version 6.3V1L10.
Descripción: 

Philips ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante, dentro de la red, apagar o reiniciar, de forma remota, una de las estaciones de trabajo.

Solución: 
  • Philips ha publicado un parche para abordar de forma proactiva esta vulnerabilidad y programará actividades de soporte con los clientes afectados para implementar la corrección.
  • Como medidas de mitigación, el fabricante recomienda cambiar la contraseña de IPMI para la interfaz de la estación de trabajo.
Detalle: 

La neutralización inadecuada de elementos especiales, utilizados en comandos del sistema operativo, podría permitir a un atacante modificar dichos comandos al ser enviados a otro componente. Se ha asignado el identificador CVE-2020-27298 para esta vulnerabilidad. 

Encuesta valoración