Inicio / Content / Boletín de INCIBE-CERT del 23-02-2022

Boletín de INCIBE-CERT del 23-02-2022

Ejecución remota de código en LeviStudioU de WECON

Fecha de publicación: 
23/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

LeviStudioU.

Descripción: 

Natnael Samson, de Zero Day Initiative, ha reportado 15 vulnerabilidades de severidad alta, que podrían permitir a un atacante la ejecución remota de código en LeviStudioU.

Solución: 

Estas vulnerabilidades se han divulgado públicamente sin un parche, de acuerdo con el plazo de 120 días de ZDI.

Detalle: 

Estas vulnerabilidades, originadas debido a que distintos procesos no validan correctamente la longitud de los datos suministrados por el usuario antes de copiarlos en una pila de longitud fija, podrían permitir a un atacante remoto ejecutar código arbitrario en las instalaciones afectadas. Se requiere la interacción del usuario para explotar estas vulnerabilidades, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.

Encuesta valoración

Referencias: 
(0Day) WECON LeviStudioU UMP File Parsing Trend Tag WordAddr4 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Disc Tag WordAddr2 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Disc Tag WordAddr1 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP FIle Parsing Disc Tag WordAddr Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Disc Tag WordAddr3 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Disc Tag WordAddr4 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Alarm Tag WordAddr Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Extra Tag bitaddr Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Alarm Tag bitaddr Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Extra Tag WordAddr Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Alarm Tag WordAddr9 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Alarm Tag WordAddr9 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Trend Tag WordAddr2 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing XY Tag WordAddr4 Stack-based Buffer Overflow Remote Code Execution Vulnerability
(0Day) WECON LeviStudioU UMP File Parsing Trend Tag WordAddr1 Stack-based Buffer Overflow Remote Code Execution Vulnerability
Etiquetas: 
0day
Infraestructuras críticas
Vulnerabilidad

Permisos incorrectos en productos WIN-911

Fecha de publicación: 
23/02/2022
Importancia: 
3 - Media
Recursos afectados: 

Plataforma de notificación de alarmas WIN-911, versiones:

  • WIN-911 2021 R1 – 5.21.10;
  • WIN-911 2021 R2 – 5.21.17.
Descripción: 

Noam Moshe, de Claroty, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante la ejecución de código en el contexto y permisos de la aplicación.

Solución: 

WIN-911 ha publicado un hotfix que elimina el acceso de escritura para el grupo de usuarios en las subcarpetas del directorio afectadas.

Detalle: 
  • Una configuración errónea de permisos podría permitir a un atacante escribir localmente archivos en el directorio Program Announcer y escalar permisos cada vez que se ejecute el programa. Se ha asignado el identificador CVE-2022-23922 para esta vulnerabilidad.
  • Una configuración errónea de permisos podría permitir a un atacante escribir localmente archivos en el directorio Operator Workspace del programa, que contiene archivos DLL y ejecutables, lo que podría permitir a un atacante, con pocos privilegios, escalar privilegios y permisos, mediante la escritura de un archivo DLL especialmente diseñado. Se ha asignado el identificador CVE-2022-23104 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-22-053-03) WIN-911 2021
Etiquetas: 
Actualización
Infraestructuras críticas
IoT
Vulnerabilidad

Múltiples vulnerabilidades en Insyde BIOS afectan a productos Siemens

Fecha de publicación: 
23/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Todas las versiones de:

  • SIMATIC Field PG M5,
  • SIMATIC Field PG M6,
  • SIMATIC IPC127E,
  • SIMATIC IPC227G,
  • SIMATIC IPC277G,
  • SIMATIC IPC327G,
  • SIMATIC IPC377G,
  • SIMATIC IPC427E,
  • SIMATIC IPC477E,
  • SIMATIC IPC627E,
  • SIMATIC IPC647E,
  • SIMATIC IPC677E,
  • SIMATIC IPC847E,
  • SIMATIC ITP1000.
Descripción: 

Insyde publicó información sobre 23 vulnerabilidades en la BIOS de Insyde en febrero de 2022: 5 con severidad crítica, 16 altas y 2 medias. Por su parte, Siemens ha publicado un aviso con sus productos afectados por estas vulnerabilidades.

Solución: 

En la actualidad no se dispone de soluciones. Siemens ha identificado que, como requisito previo para un ataque, un atacante debe ser capaz de ejecutar código no fiable en los sistemas afectados, por lo que el fabricante recomienda limitar las posibilidades de ejecutar dicho código.

Como medida de seguridad general, Siemens recomienda proteger el acceso a la red de los dispositivos con los mecanismos adecuados. Para utilizar los dispositivos en un entorno protegido Siemens recomienda configurar el entorno de acuerdo con las directrices operativas de Siemens para la seguridad industrial y seguir las recomendaciones de los manuales de los productos.

Detalle: 

Las 5 vulnerabilidades críticas se describen a continuación:

  • Una vulnerabilidad de corrupción de memoria de SMM (System Management Mode) en FvbServicesRuntimeDxe, podría permitir a un atacante la escalada de privilegios en SMM mediante la escritura de datos fijos o predecibles en la SMRAM. Se ha asignado el identificador CVE-2021-42554 para esta vulnerabilidad.
  • Existe una validación insuficiente en el puntero del búfer asignado (la ubicación CommBuffer+8) en la branch SMM que registra un handler SWSMI. Se ha asignado el identificador CVE-2021-45969 para esta vulnerabilidad.
  • Existe una validación insuficiente en el puntero del búfer asignado (el código de estado almacenado en la ubicación CommBuffer+4) en la branch SMM, que registra un handler SWSMI. Se ha asignado el identificador CVE-2021-45970 para esta vulnerabilidad.
  • Existe una validación insuficiente en el puntero del búfer asignado (CommBufferData) en la branch SMM, que registra un handler SWSMI. Se ha asignado el identificador CVE-2021-45971 para esta vulnerabilidad.
  • Una vulnerabilidad de corrupción de memoria de SMM podría permitir a un atacante la escalada de privilegios en SMM mediante la escritura de datos fijos o predecibles en la SMRAM. Se ha asignado el identificador CVE-2022-24030 para esta vulnerabilidad.

El resto de identificadores de severidad alta y media son: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2022-24031 y CVE-2022-24069.

Encuesta valoración

Referencias: 
SSA-306654: Insyde BIOS Vulnerabilities in Siemens Industrial Products
Múltiples vulnerabilidades en InsydeH2O UEFI de Insyde
Etiquetas: 
Infraestructuras críticas
IoT
SCADA
Siemens
Vulnerabilidad

Múltiples vulnerabilidades en Proficy CIMPLICITY de GE

Fecha de publicación: 
23/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

Proficy CIMPLICITY, versión 11.1 y anteriores.

Descripción: 

Yuval Ardon y Roman Dvorkin, de OTORIO, han reportado al CISA 2 vulnerabilidades de severidad alta, por las que un atacante remoto podría realizar tanto la ejecución de código como la escalada de privilegios locales y capturar una sesión de conexión, pudiendo acabar en la divulgación de información sensible.

Solución: 

Actualizar todas las instancias del software afectado a Proficy CIMPLICITY de GE Digital, publicado en enero de 2022, y seguir las instrucciones de la Guía de Despliegue Seguro para restringir qué proyectos de CIMPLICITY pueden ejecutarse.

Detalle: 
  • Si el atacante tiene acceso de inicio de sesión a una máquina que ejecuta activamente CIMPLICITY, el servidor CIMPLICITY no está ejecutando ya un proyecto o el servidor tiene licencia para múltiples proyectos podría dar lugar a una escalada de privilegios local y a la ejecución de código. Se ha asignado el identificador CVE-2022-23921 para esta vulnerabilidad.
  • La transmisión en texto claro de las credenciales vistas en la red de CIMPLICITY pueden ser fácilmente suplantadas y utilizadas para iniciar sesión y realizar cambios operativos en el sistema. Se ha asignado el identificador CVE-2022-21798 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-22-053-01) GE Proficy CIMPLICITY-IPM
ICS Advisory (ICSA-22-053-02) GE Proficy CIMPLICITY-Cleartext
Etiquetas: 
Actualización
Infraestructuras críticas
SCADA
Vulnerabilidad

Ejecución de código remoto en Alpha5 de Fuji Electric

Fecha de publicación: 
23/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

Alpha5 de Fuji Electric.

Descripción: 

El investigador, Xina1i, a través de ZDI, ha publicado una vulnerabilidad de severidad alta, por la que un atacante remoto podría ejecutar código arbitrario en las instalaciones afectadas de Fuji Electric Alpha5. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.

Solución: 

Dada la naturaleza de la vulnerabilidad, actualmente la única medida de mitigación es restringir la interacción con la aplicación.

Detalle: 

El fallo específico existe en el análisis de los archivos C5P en el módulo Server Operator. El problema se debe a la falta de validación adecuada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer basado en la pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.

Encuesta valoración

Referencias: 
(0Day) Fuji Electric Alpha5 Servo Operator C5P File Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability
Etiquetas: 
0day
Infraestructuras críticas
Vulnerabilidad