Home / Node / Boletín de INCIBE-CERT del 21-04-2021

Boletín de INCIBE-CERT del 21-04-2021

Múltiples vulnerabilidades en conmutadores Stratix de Rockwell Automation

Publication date: 
04/21/2021
Importance: 
4 - Alta
Affected resources: 
  • Stratix 5800: versiones 16.12.01 y anteriores;
  • Stratix 8000: versiones 15.2 (7) E3 y anteriores;
  • Stratix 5700: versiones 15.2 (7) E3 y anteriores;
  • Stratix 5410: versiones 15.2 (7) E3 y anteriores;
  • Stratix 5400: versiones 15.2 (7) E3 y anteriores.
Description: 

Investigadores de Cisco informaron a Rockwell Automation de vulnerabilidades en sus conmutadores industriales, gestionados por Stratix, que podrían permitir a un atacante causar vulnerabilidades de denegación de servicio, escalada de privilegios no autorizada, secuestro de sesiones web, accesos no permitidos a rutas relativas o la inyección de comandos en los productos afectados.

Solution: 

Rockwell Automation recomienda aplicar las siguientes soluciones:

  • Stratix 5800: instalar la versión 17.04.01 o posterior, y si es posible desactivar el protocolo DECnet por completo o por interfaces.
  • Stratix 8300: migrar el producto a una solución más actualizada.

Para todos los productos afectados se recomienda además seguir el principio de usuarios con privilegios mínimos y que el acceso a las cuentas de usuario solo se otorgue al personal estrictamente necesario. Puede consultar el aviso del fabricante para más información.

Rockwell Automation está trabajando en nuevos parches para solucionar estas vulnerabilidades, y como mitigación provisional recomienda:

  • Utilizar en las redes donde se encuentren los sistemas de control industrial, segmentación en la infraestructura de red a través de firewalls para evitar el tráfico de fuentes no autorizadas o de la red empresarial.
  • En los productos que lo permitan, utilizar la configuración de un interruptor a modo de hardware para bloquear cambios no autorizados, etc.
  • Conectarse a los dispositivos desde equipos confiables, con medidas de seguridad básicas aplicadas, tales como la utilización de programas antivirus/antimalware o equipos actualizados o con acceso limitado a Internet.
  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, confirmando que no son accesibles desde Internet.
  • Cuando se requiera acceso remoto, utilizar métodos seguros, como redes privadas virtuales (VPN).
Detail: 

Cisco ha comunicado a Rockwell Automation varias vulnerabilidades en las que, a través de su CLI o uPNP y sus productos de software Cisco IOS y Cisco IOS XE, podrían verse afectados los conmutadores Stratix. Algunas de estas vulnerabilidades podrían permitir que un atacante autenticado recupere la contraseña del protocolo industrial común (CIP), y luego configure de forma remota el dispositivo afectado como un usuario, o causar una denegación de servicio a través del protocolo DECnet.

Adicionalmente, se ha identificado una vulnerabilidad en los conmutadores Stratix 5800, que podría permitir que un atacante físico no autenticado ejecute código persistente en el momento del arranque.

Se han asignado los siguientes identificadores para estas vulnerabilidades: CVE-2021-1392, CVE-2021-1403, CVE-2021-1352, CVE-2021-1442, CVE-2021-1452, CVE-2021-1443, CVE-2021-1220 y CVE-2021-1356.

Encuesta valoración

Vulnerabilidad de XSS en productos Ellipse APM de Hitachi ABB Power Grids

Publication date: 
04/21/2021
Importance: 
3 - Media
Affected resources: 
  • Ellipse APM, versión 5.3.0.1 y anteriores; 
  • Ellipse APM, versión 5.2.0.3 y anteriores;
  • Ellipse APM, versión 5.1.0.6 y anteriores.
Description: 

Hitachi ABB Power Grids ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante autenticado o a una aplicación integrada inyectar datos maliciosos o ejecutar código arbitrario.

Solution: 

Actualizar a las versiones 5.3.0.2, 5.2.0.4 y 5.1.0.7, respectivamente.

Detail: 

Una vulnerabilidad de XSS almacenado en el panel principal de los productos afectados podría permitir a un atacante autenticado o a una aplicación integrada inyectar datos maliciosos o ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-27887 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de Delta Electronics

Publication date: 
04/21/2021
Importance: 
5 - Crítica
Affected resources: 
  • COMMGR, versión 1.12 y anteriores;
  • CNCSoft. versión 1.01.28 (con ScreenEditor versión 1.01.2) y anteriores;
  • CNCSoft-B, versión 1.0.0.3 y anteriores.
Description: 

Peter Cheng, investigador de CyberSpace Non-Attack Research Institute de Elex CyberSecurity, Inc., y Natnael Samson en colaboración con ZDI de Trend Micro, han reportado al CISA 4 vulnerabilidades, 1 de severidad crítica y 3 altas, cuya explotación podría permitir realizar ejecución remota de código (RCE), causar el fallo de la aplicación afectada o causar ejecución de código arbitrario.

Solution: 

Actualizar a las siguientes versiones:

Detail: 
  • El producto afectado es vulnerable a un desbordamiento del búfer basado en la pila (stack), que podría permitir a un atacante ejecutar código remoto, lo que provocaría una condición de denegación de servicio (DoS) en el servidor de aplicaciones. Se ha asignado el identificador CVE-2021-27480 para esta vulnerabilidad crítica.
  • El producto afectado es vulnerable a una lectura fuera de límites, lo que podría permitir a un atacante ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-22668 y CVE-2021-22660 para estas vulnerabilidades altas.
  • El producto afectado es vulnerable a una escritura fuera de límites, que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22664 para esta vulnerabilidad alta.

Encuesta valoración

Múltiples vulnerabilidades en productos Meinberg con LANTIME firmware

Publication date: 
04/21/2021
Importance: 
4 - Alta
Affected resources: 

Todos los productos con firmware LANTIME, anteriores a V7.02.003 y a V6.24.028.

Este firmware es utilizado en productos LANTIME serie M, serie IMS y SyncFire.

Description: 

El fabricante, Meinberg ha informado de nuevas versiones de su firmware LANTIME que corrigen múltiples vulnerabilidades en componentes integrados de terceros y que afectan a OpenSSL, sudo y también a su interfaz web LTOS-Web-Interface. Estas vulnerabilidades podrían permitir a un atacante alterar el cifrado en las comunicaciones, realizar una escalada de privilegios, inyectar comandos o ejecutar una vulnerabilidad de tipo Cross-Site-Scripting.

Solution: 

Se recomienda actualizar el firmware LANTIME a las versiones V7.02.003 y V6.24.028 disponibles en la web del fabricante.

Detail: 

Las vulnerabilidades solucionadas en el firmware LANTIME y que afectan a componentes integrados de terceros son las siguientes:

  • OpenSSL: CVE-2021-3450, CVE-2021-23840, CVE-2021-23841 y CVE-2021-23840;
  • sudo: CVE-2021-3156.

Meinberg también ha solucionado vulnerabilidades que afectan a su interfaz web y que permitirían a un atacante realizar ataques de inyección de comandos o de tipo Cross-Site-Scripting, estas vulnerabilidades se producen debido a la falta de validación de entrada de algunos campos en la interfaz web SyncMon. No se ha reservado ningún identificador CVE para estas vulnerabilidades.

Encuesta valoración