Inicio / Content / Boletín de INCIBE-CERT del 28-04-2021

Boletín de INCIBE-CERT del 28-04-2021

Denegación de servicio en TwinCAT OPC UA Server e IPC Diagnostics UA Server de Beckhoff

Fecha de publicación: 
28/04/2021
Importancia: 
3 - Media
Recursos afectados: 
  • Servidor TwinCAT OPC UA, hasta la versión 2.3.0.12 incluida. Este producto está incluido en TF6100 OPC UA, y está afectado hasta la versión 3.3.18.
  • Servidor UA de IPC Diagnostics, hasta la versión 3.1.0.1 incluida. Este producto se incluye preinstalado en los sistemas IPC de Beckhoff, aunque deshabilitado por defecto.
Descripción: 

Beckhoff Automation ha informado que algunas versiones de TwinCAT OPC UA Server e IPC Diagnostics UA Server son vulnerables a ataques de denegación de servicio. Un atacante podría enviar varias solicitudes diseñadas específicamente al servidor OPC UA en ejecución y causar que deje de responder, provocando una denegación de servicio.

Solución: 
  • Para CX8091, Beckhoff recomienda actualizar a la versión de firmware "CX8091_CE600_LF_v356f_TC211R3_B2306_v2" o posterior.
  • Para dispositivos que ejecutan Windows CE, Beckhoff recomienda que solicite una imagen reciente a través del soporte técnico.
  • Para el resto de dispositivos que ejecutan otras versiones de Windows, Beckhoff recomienda que obtenga una versión reciente de los servidores OPC UA a través los canales de descarga oficiales.
Detalle: 

Investigadores del Laboratorio de Seguridad de Control Industrial de QI-ANXIN Technology Group informaron al fabricante Beckhoff de una vulnerabilidad que permitiría a un atacante establecer una conexión TCP con uno de los servidores OPC UA afectados y enviarle una serie de paquetes de datos, específicamente diseñados, provocando un desbordamiento de pila por una incorrecta validación de entrada en el servidor OPC UA, haciendo que se detenga y requiera un reinicio por parte del administrador. Se ha asignado el identificador CVE-2020-12526 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en NPort IA5000A Series de Moxa

Fecha de publicación: 
28/04/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • NPort IA5150A/IA5250A Series, versión de firmware 1.4 o anteriores;
  • NPort IA5450A Series, versión de firmware 1.7 o anteriores.
Descripción: 

Alexander Nochvay, investigador de Kaspersky Lab ICS CERT, ha reportado a Moxa 4 vulnerabilidades que podrían permitir un control de acceso inadecuado, almacenamiento de credenciales sin protección o transmisión en claro de información sensible.

Solución: 
  • Para la vulnerabilidad CVE-2020-27149, actualizar:
    • NPort IA5150A/IA5250A Series: versión de firmware 1.5 o superiores;
    • NPort IA5450A Series: versión de firmware 2.0 o superiores.
  • Para la vulnerabilidad CVE-2020-27149: los productos Moxa admiten una función de clave precompartida para codificar el archivo de configuración y mitigar este riesgo. Consulta la sección de Export/Import en el manual del usuario para más detalles.
  • Para la vulnerabilidad CVE-2020-27184: los productos Moxa pueden desactivar el servicio Telnet para mitigar este riesgo. Consultar la sección Console Settings en el manual del usuario para más detalles. La versión de firmware 1.5 o superiores deshabilitará Telnet por defecto en NPort IA5150A/IA5250A Series. La versión de firmware 2.0 o superiores deshabilitará Telnet por defecto en NPort IA5450A Series.
  • Para la vulnerabilidad CVE-2020-27185: los productos Moxa pueden desactivar el servicio Moxa para mitigar este riesgo. Consultar la sección Console Settings en el manual del usuario para más detalles.
Detalle: 
  • Un atacante podría explotar esta vulnerabilidad para escalar privilegios o para recibir peticiones que requieran un nivel de privilegio superior. Se ha asignado el identificador CVE-2020-27149 para esta vulnerabilidad.
  • Un atacante podría extraer las credenciales de autenticación de un archivo de configuración enviado a través de un canal de comunicación inseguro, utilizando esos datos posteriormente para autenticarse a través del servicio Moxa y cambiar las configuraciones del dispositivo. Se ha asignado el identificador CVE-2020-27150 para esta vulnerabilidad.
  • Un atacante podría leer todos los datos transferidos entre el cliente y el dispositivo si la comunicación se realiza a través de Telnet, incluyendo las credenciales de autenticación, los datos de configuración y la versión del dispositivo, y otros datos sensibles. Se ha asignado el identificador CVE-2020-27184 para esta vulnerabilidad.
  • Un atacante podría leer todo el tráfico enviado cuando el servicio Moxa está habilitado, incluyendo datos de autenticación, configuraciones y versiones de dispositivos, y otros datos sensibles. Se ha asignado el identificador CVE-2020-27185 para esta vulnerabilidad.

Encuesta valoración