Inicio / Content / Boletín de INCIBE-CERT del 23-03-2022

Boletín de INCIBE-CERT del 23-03-2022

Múltiples vulnerabilidades en DIAEnergie de Delta Electronics

Fecha de publicación: 
23/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 

DIAEnergie: todas las versiones anteriores a la 1.8.02.004.

Descripción: 

Michael Heinzl y Dusan Stevanovic, investigadores de ZDI de Trend Micro, han reportado al CISA 17 vulnerabilidades: 16 de severidad crítica y 1 de severidad alta, por las que un atacante podría escribir archivos arbitrarios en ubicaciones del sistema de archivos, crear nuevos archivos (como DLL) o reemplazar archivos ejecutables existentes o inyectar consultas SQL arbitrarias.

Solución: 

Delta Electronics ha corregido las vulnerabilidades notificadas en la versión 1.08.02.004. Los usuarios deben ponerse en contacto con el servicio de atención al cliente de Delta o con un representante de la compañía para obtener esta versión, ya que no se hará pública. Delta está trabajando en una versión pública que incluirá estas correcciones y otras características el 30 de junio de 2022.

Detalle: 
  • El producto afectado es vulnerable a los ataques de tipo path transversal. Se ha asignado el identificador CVE-2022-25347 para esta vulnerabilidad de severidad crítica.
  • Un permiso incorrecto por defecto en la aplicación DIAEnergie. Se ha asignado el identificador CVE-2022-26839 para esta vulnerabilidad de severidad alta.
  • Existen vulnerabilidades de inyección SQL en HandlerCommon.ashx, HandlerPage_KID.ashx, GetCalcTagList, DIAE_hierarchyHandler.ashx, GetQueryData, GetLatestDemandNode, GetDemandAnalysisData, DIAE_dmdsetHandler.ashx, HandlerExport.ashx/Calendar, HandlerDialog_KID.ashx, HandlerDialogECC.ashx, DIAE_HandlerTag_KID.ashx, DIAE_eccoefficientHandler.ashx, DIAE_hierarchyHandler.ashx y DIAE_tagHandler.ashx. Se han asignado los identificadores CVE-2022-25980, CVE-2022-26069, CVE-2022-27175, CVE-2022-26338, CVE-2022-26059, CVE-2022-26065, CVE-2022-26013, CVE-2022-26836, CVE-2022-0923, CVE-2022-26666, CVE-2022-26887, CVE-2022-26349, CVE-2022-25880, CVE-2022-26514 y CVE-2022-26667 para estas vulnerabilidades de severidad crítica.

Encuesta valoración

[Actualización 23/03/2022] Múltiples vulnerabilidades en productos de Delta Electronics

Fecha de publicación: 
27/08/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • DIAEnergie version 1.7.5 y anteriores;
  • DOPSoft versión 4.00.11 y anteriores.
Descripción: 

Michael Heinzl y un investigador anónimo, han reportado al CISA seis vulnerabilidades de severidad crítica, una de severidad alta y dos de severidad media, que podrían permitir a un atacante acceder a contraseñas en texto plano, ejecutar código arbitrario de forma remota, tomar el control del dispositivo con privilegios de administrador o hacer que un usuario realice una acción de forma involuntaria.

Solución: 
  • Para DIAEnergie, Delta Electronics está trabajando en un parche y recomienda a los usuarios que instalen la actualización que se publicará el próximo 15 de septiembre;
  • Para DOPSoft, Delta Electronics también está trabajando en la mitigación de la vulnerabilidad y se invita a los usuarios afectados a ponerse en contacto con el servicio de atención para obtener más información.

para más información, puede ponerse en contacto con el soporte al cliente de Delta Electronics.

Detalle: 
  • Una vulnerabilidad de omisión de la autentificación mediante una ruta o canal alternativo en DIAEnergie podría permitir a un atacante, no autenticado o autorizado, añadir un nuevo usuario administrador y así, iniciar sesión y utilizar el dispositivo con privilegios de administrador. Se ha asignado el identificador CVE-2021-32967 para esta vulnerabilidad crítica.
  • Una vulnerabilidad de carga de archivos de tipo peligroso sin restricciones en DIAEnergie podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-32955 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad de inyección de SQL ciego en DIAEnergie hace que la aplicación no valide correctamente el valor introducido por el usuario, a través del tipo de parámetro correspondiente, antes de efectuar una consulta SQL, lo que podría permitir a un atacante, remoto y no autenticado, ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-32983, CVE-2021-38390, CVE-2021-38391 y CVE-2021-32991 para estas vulnerabilidades críticas.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-33019 y CVE-2022-0988.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-33003 y CVE-2021-32991.

Encuesta valoración

RCE en Microsoft Windows IKE Extension afecta a productos Philips

Fecha de publicación: 
23/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Philips proporciona la siguiente lista de productos potencialmente afectados, que no es exhaustiva y puede actualizarse si se identifican más productos:

  • Productos solo de software con sistemas operativos propiedad del cliente e información o parche disponible en Incenter:
    • CareEvent (C.0x);
    • IntelliBridge Enterprise (B.13-B.15);
    • IntelliSpace Portal Server (11.0/12.0);
    • FocalPoint (A.0/A.01);
    • IntelliSpace Portal Enterprise (12.0).
  • Información o parche disponible en Incenter:
    • PICiX (B.0x/C.0x);
    • Data Warehouse Connect.

Para los clientes que utilizan la Red de Servicios Remotos de Philips (RSN, PRS), todos los sistemas RSN de Philips están protegidos contra esta vulnerabilidad y se aconseja a los clientes que no desconecten la PRS, ya que podría afectar a los equipos de servicio de Philips para proporcionar cualquier apoyo inmediato y proactivo necesario, como la aplicación de parches en remoto.

Descripción: 

Philips está supervisando actualmente los desarrollos y actualizaciones relacionados con una vulnerabilidad crítica de ejecución remota de código dentro del componente IKE Extension de Microsoft Windows.

Solución: 

Microsoft ya publicó un parche para esta vulnerabilidad como parte de su actualización de seguridad de enero. Philips también está supervisando las actualizaciones del sistema operativo relacionadas con esta vulnerabilidad y evaluando otras posibles acciones según fuese necesario.

Detalle: 

La vulnerabilidad se origina por una validación de entrada inadecuada en el componente IKE Extension de Microsoft Windows. Un atacante remoto podría enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad podría resultar en el compromiso completo del sistema vulnerable. Se ha asignado el identificador CVE-2022-21849 para esta vulnerabilidad.

Encuesta valoración