Inicio / Content / Boletín de INCIBE-CERT del 22-04-2022

Boletín de INCIBE-CERT del 22-04-2022

Múltiples vulnerabilidades en productos Hitachi Energy

Fecha de publicación: 
22/04/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • SYS600, versión 10.1.1 y anteriores (vulnerabilidad OpenSSL);
  • SYS600, versiones desde la 9.4 FP1 hasta la 10.2.1 (vulnerabilidad Node.js);
  • SYS600, versiones desde la 10.0.0 hasta la 10.2.1 (vulnerabilidad PostgreSQL).
Descripción: 

Hitachi Energy ha reportado 9 vulnerabilidades al CISA, 6 de severidad alta, 2 medias y una baja, que podrían permitir a un atacante espiar el tráfico entre el origen y el destino de la red, obtener acceso no autorizado a la información o provocar una situación de denegación de servicio.

Solución: 

Actualizar a la versión 10.3 o superior.

Detalle: 

Las vulnerabilidades de severidad alta se refieren a:

  • Las versiones de Node.js anteriores a 10.23.1, 12.20.1, 14.15.4 y 15.5.1, permiten dos copias de un campo de cabecera en una misma petición HTTP (por ejemplo, dos campos de cabecera de codificación de transferencia). En este caso, Node.js identifica el primer campo de cabecera e ignora el segundo. Esto podría permitir a un atacante realizar a peticiones HTTP no autorizadas. Se ha asignado el identificador CVE-2020-8265 para esta vulnerabilidad.
  • Un error en el procesamiento de los símbolos en los nombres de cabecera HTTP, en Node.js < 12.18.4 y < 14.11, podría permitir a un atacante secuestrar sesiones de usuario, envenenar cookies, realizar clickjacking y otros ataques dependiendo de la arquitectura del sistema subyacente, mediante el envío de cargas útiles especialmente diseñadas. Se ha asignado el identificador CVE-2020-8201 para esta vulnerabilidad.
  • La determinación incorrecta del tamaño del búfer en la implementación de realpath, en libuv < 10.22.1, < 12.18.4 y < 14.9.0 utilizada dentro de Node.js, podría permitir a un atacante provocar un desbordamiento de búfer si la ruta resuelta es superior a 256 bytes. Se ha asignado el identificador CVE-2020-8252 para esta vulnerabilidad.
  • La reutilización de la sesión TLS puede conducir a la omisión de la verificación del certificado del host. Se ha asignado el identificador CVE-2020-8172 para esta vulnerabilidad.
  • napi_get_value_string_*() permite varios tipos de corrupción de memoria en el nodo < 10.21.0, 12.18.0, y < 14.4.0. Se ha asignado el identificador CVE-2020-8174 para esta vulnerabilidad.
  • La falta de comprobaciones de límites, al modificar ciertos valores de matrices SQL, podría permitir a atacantes autenticados en la base de datos escribir bytes arbitrarios en una amplia zona de la memoria del servidor, afectando a la confidencialidad, integridad de los datos y disponibilidad del sistema. Se ha asignado el identificador CVE-2021-32027 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2020-8287 y CVE-2021-32028.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2020-1968.

Encuesta valoración

Ejecución remota de código en ASDA-Soft de Delta Electronics

Fecha de publicación: 
22/04/2022
Importancia: 
4 - Alta
Recursos afectados: 

ASDA-Soft, versiones 5.4.1.0 y anteriores.

Descripción: 

Kimiya, en colaboración con Zero Day Initiative de Trend Micro, informó de estas 2 vulnerabilidades de severidad alta al CISA que podrían permitir a un atacante la ejecución remota de código.

Solución: 

Actualizar a la versión v5.5.0.0 o superior.

Detalle: 
  • El saneado incorrecto de la entrada, al procesar un archivo de proyecto específico, podría permitir a un atacante una condición de lectura fuera de límites. Se ha asignado el identificador CVE-2022-1402 para esta vulnerabilidad.
  • El saneado incorrecto de la entrada, al procesar un archivo de proyecto específico, podría permitir a un atacante una condición de escritura fuera de límites. Se ha asignado el identificador CVE-2022-1403 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad SSRF en Johnson Controls Metasys

Fecha de publicación: 
22/04/2022
Importancia: 
3 - Media
Recursos afectados: 

Versiones anteriores a la 14.2.2 de los productos:

  • Metasys System Configuration Tool (SCT),
  • Metasys System Configuration Tool Pro (SCT Pro).
Descripción: 

Tony West y Scott Ponte han reportado al fabricante una vulnerabilidad de severidad media, que podría permitir a un atacante determinar si existen archivos o rutas específicas.

Solución: 
  • Actualizar Metasys SCT/SCT Pro a la versión 14.2.2.
  • Aplicar las medidas adecuadas para minimizar los riesgos de todos los sistemas de automatización del edificio.
Detalle: 

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, identificar y falsificar solicitudes a sistemas internos a través de una solicitud especialmente diseñada. Se ha asignado el identificador CVE-2021-36203 para esta vulnerabilidad.

Encuesta valoración