Inicio / Content / Boletín de INCIBE-CERT del 25-02-2022

Boletín de INCIBE-CERT del 25-02-2022

Acceso a las credenciales del sistema en Bently Nevada 3500

Fecha de publicación: 
25/02/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • System 1 6.x, Part No. 3060/00, versión 6.98 y anteriores, publicadas en diciembre de 2020;
  • System 1, Part No. 3071/xx y 3072/xx, versión 21.1 HF1 y anteriores, publicadas en julio de 2021;
  • 3500 Rack Configuration, Part No. 129133-01, versión 6.4 y anteriores, publicadas en mayo de 2020;
  • 3500/22M Firmware, Part No. 288055-01, versión 5.05 y anteriores, publicadas en mayo de 2021.
Descripción: 

Ron Brash y Nicolas Harsey, de Verve Industrial, han reportado al CISA una vulnerabilidad de severidad alta, por la que un atacante podría acceder a las credenciales del sistema.

Solución: 

Actualizar a la versión 6.6 o superior de 3500 Rack Configuration de Bently Nevada.

Detalle: 

Los productos afectados utilizan un algoritmo de cifrado débil para el almacenamiento y la transmisión de datos sensibles, lo que podría permitir a un atacante obtener más fácilmente las credenciales utilizadas para el acceso. Se ha asignado el identificador CVE-2021-32997 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-21-231-02) Baker Hughes Bently Nevada 3500
Etiquetas: 
Actualización
Infraestructuras críticas
Vulnerabilidad

Múltiples vulnerabilidades en FATEK Automation FvDesigner

Fecha de publicación: 
25/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

FvDesigner, versión 1.5.100 y anteriores.

Descripción: 

Khangkito, investigador de VinCSS, y xina1i, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario.

Solución: 

FATEK no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con el servicio de atención al cliente de FATEK para obtener información adicional.

Detalle: 
  • Un desbordamiento de búfer basado en la pila al procesar archivos de proyecto podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-25170 para esta vulnerabilidad.
  • Una escritura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-23985 para esta vulnerabilidad.
  • Una lectura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-21209 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-22-055-01) FATEK Automation FvDesigner
Etiquetas: 
0day
Infraestructuras críticas
IoT
SCADA
Vulnerabilidad