Home / Node / Boletín de INCIBE-CERT del 08-04-2020

Boletín de INCIBE-CERT del 08-04-2020

Múltiples vulnerabilidades en productos de Universal Robots

Publication date: 
04/08/2020
Importance: 
5 - Crítica
Affected resources: 
  • UR10,
  • UR5,
  • UR 3,
  • Universal Robots Robot Controllers CB 2, CB3 y e-series.
Description: 

Investigadores de Alias Robotics, en colaboración con investigadores independientes, han detectado 86 vulnerabilidades, 29 con severidades críticas, 37 altas, 19 medias y 1 baja.

De las vulnerabilidades mencionadas, caben destacar dos de severidad crítica (CVE-2020-10264 y CVE-2020-10265), y dos altas (CVE-2020-10266 y CVE-2020-10267).

Solution: 

Actualmente no hay actualizaciones que solucionen las vulnerabilidades.

Para la vulnerabilidad con identificador CVE-2020-10266, se recomienda emplear como medida de mitigación, firmar digitalmente los componentes de la plataforma UR+, y validar la firma durante el proceso de instalación.

Para la vulnerabilidad con identificador CVE-2020-10267 se recomienda emplear como medida de mitigación, usar una combinación de cifrado y firma para proteger las propiedades intelectuales instaladas. Asegurar que el sistema de archivos donde residen estos ficheros tengan permisos de solo lectura, excepto para modificaciones autorizadas.

Este aviso se actualizará según se publiquen nuevas actualizaciones.

Detail: 

Las vulnerabilidades podrían permitir a un atacante realizar alguna de las siguientes acciones:

  • Revelar información sensible.
  • Obtener el control del sistema de manera remota.
  • Realizar modificaciones en el sistema.
  • Ejecución remota de código.
  • Generar una condición de denegación de servicio.
  • Cierre inesperado del sistema.

Encuesta valoración

 

Vulnerabilidad en la integridad de las comunicaciones en KUKA Sim Pro

Publication date: 
04/08/2020
Importance: 
3 - Media
Affected resources: 

KUKA Sim Pro, versión 3.1 del software de simulación y programación de máquinas.

Description: 

Federico Maggi, de Trend Micro, ha reportado al CISA una vulnerabilidad en KUKA Sim Pro, de severidad media, de aplicación incorrecta de la integridad de los mensajes durante transmisiones en un canal de comunicación.

Solution: 

Actualizar el producto afectado a la versión 3.1.2.

Detail: 

Esta vulnerabilidad podría provocar una pérdida de integridad en los modelos 3D externos obtenidos de servidores remotos. Cuando estos dispositivos solicitan un modelo, el servidor transmite el modelo en texto plano. Se ha reservado el identificador CVE-2020-10635 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Advantech WebAccess/NMS

Publication date: 
04/08/2020
Importance: 
5 - Crítica
Affected resources: 

WebAccess/NMS, versiones anteriores a 3.0.2.

Description: 

rgod, de 9sg, trabajando con Zero Day Initiative de Trend Micro, ha reportado 8 vulnerabilidades, siendo 2 de severidad crítica, 5 altas y 1 media. Los tipos de vulnerabilidades son: subida de ficheros potencialmente maliciosos sin restricción, inyección SQL, acceso relativo a rutas no controlado (relative path traversal), falta de autenticación para función crítica, restricción impropia de referencias a XXE (XML eXternal Entities) e inyección de comandos del SSOO.

Solution: 

Actualizar el producto afectado a la versión 3.0.2.

Detail: 

Un atacante que aproveche alguna de las vulnerabilidades descritas en este aviso, podría realizar alguna de las siguientes acciones:

  • subir archivos potencialmente maliciosos y ejecutarlos;
  • acceder a información sensible;
  • eliminar o modificar ficheros fuera del control de la aplicación;
  • crear perfiles de administrador;
  • ejecutar comandos del sistema de manera remota.

Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2020-10617, CVE-2020-10623, CVE-2020-10619, CVE-2020-10631, CVE-2020-10625, CVE-2020-10629 y CVE-2020-10603.

Encuesta valoración

Vulnerabilidad en Fuji Electric V-Server Lite

Publication date: 
04/08/2020
Importance: 
4 - Alta
Affected resources: 

V-Server Lite, todas las versiones anteriores a la 4.0.9.0.

Description: 

Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (heap) podría permitir a un atacante remoto la ejecución remota de código.

Solution: 

Actualizar a la versión 4.0.9.0.

Detail: 

El búfer asignado a la lectura de datos, al analizar los archivos VPR, es demasiado pequeño, lo que podría permitir a un atacante remoto escalar privilegios para la ejecución remota de código. Se ha reservado el identificador CVE-2020-10646 para esta vulnerabilidad.

Encuesta valoración