Home / Node / [Actualización 06/08/2021] INFRA:HALT, múltiples vulnerabilidades en NicheStack

[Actualización 06/08/2021] INFRA:HALT, múltiples vulnerabilidades en NicheStack

Publication date: 
08/04/2021
Importance: 
5 - Crítica
Affected resources: 
  • Pila TCP/IP NicheStack, comúnmente utilizada en millones de dispositivos de TO en todo el mundo, incluso en infraestructura crítica como plantas de fabricación, generación / transmisión / distribución de energía, tratamiento de agua, etc.
    • Pila de InterNiche, todas las versiones anteriores a la v4.3;
    • NicheLite, todas las versiones anteriores a la v4.3.

[Actualización 05/08/2021]:

  • Productos afectados de Siemens:
    • SENTRON 3WA COM190, todas las versiones anteriores a la V2.0.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 3WL COM35, todas las versiones anteriores a la V1.2.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, todas las versiones anteriores a la V3.0.4, solo afectados por las vulnerabilidades CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
  • Productos afectados de Phoenix Contact:
    • ILC1x1, variantes 2700973, 2700974, 2700975, 2700976, 2701034 y 2701141, todas las versiones de firmware;
    • ILC1x0, todas las variantes, todas las versiones de firmware;
    • AXC 1050, variantes 2700988 y 2701295, todas las versiones de firmware;
    • EV-PLCC-AC1-DC1, variantes 1624130, todas las versiones de firmware;

[Actualización 06/08/2021]:

  • Productos de Schneider Electric:
    • Lexium ILE ILA ILS, versión de firmware V01.103 y anteriores.
Description: 

Se han descubierto 14 vulnerabilidades, 2 de severidad crítica, 10 altas y 2 medias, que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la fuga de información, la suplantación de TCP o el envenenamiento de la caché de DNS.

Solution: 
  • Actualizar a NicheStack v4.3.

Si esto no es posible, realizar las siguientes medidas de mitigación:

  • Ejecutar el script de código abierto de Forescout Research Labs para detectar dispositivos que ejecutan NicheStack. La lista se actualiza constantemente con las últimas firmas.
  • Aislar y segmentar los dispositivos vulnerables del resto de la red hasta que se puedan parchear. Mitigar de acuerdo con la lista a continuación.
    • Para las vulnerabilidades CVE-2020-25928, CVE-2020-25767, CVE-2020-25927, CVE-2021-31228 y CVE-2020-25926: desactivar el cliente DNSv4 si no es necesario o bloquear el tráfico DNSv4. Debido a que existen varias vulnerabilidades que facilitan los ataques de suplantación de DNS, es posible que el uso de servidores DNS internos no sea suficiente (los atacantes pueden secuestrar la correspondencia solicitud-respuesta).
    • Para las vulnerabilidades CVE-2021-31226 y CVE-2021-31227: desactivar el servidor HTTP si no es necesario, o incluir las conexiones HTTP en la lista blanca.
    • Para las vulnerabilidades CVE-2021-31400, CVE-2021-31401 y CVE-2020-35684: monitorizar el tráfico en busca de paquetes IPv4 / TCP con formato incorrecto y bloquearlos. Por ejemplo, debería ser suficiente tener un dispositivo vulnerable detrás de un cortafuegos correctamente configurado.
    • Para la vulnerabilidad CVE-2020-35685, seguir las recomendaciones de NUMBER:JACK, siempre que sea posible.
    • Para la vulnerabilidad 2020-35683: supervisar el tráfico de paquetes ICPMv4 con formato incorrecto y bloquearlos.
  • Supervisar los parches publicados por los proveedores de dispositivos y crear un plan para la continuidad del negocio hasta que se complete la reparación completa. Los parches lanzados por HCC Embedded, la compañía que adquirió InterNiche Technologies, están disponibles bajo demanda.
  • Controlar los paquetes maliciosos que intentan explotar estas vulnerabilidades u otras.

[Actualización 05/08/2021]:

  • Para los productos de Siemens:
    • SENTRON 3WA COM190, actualizar a la V2.0.0 o posterior.
    • SENTRON 3WL COM35, actualizar a la V1.2.0 o posterior.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, actualizar a la V3.0.4 o posterior.
  • Para los productos afectados de Phoenix Contact:
    • Phoenix Contact recomienda encarecidamente utilizar los dispositivos exclusivamente en redes cerradas y protegidas por un cortafuegos adecuado. Phoenix Contact ofrece la familia de productos mGuard para la segmentación y protección de la red.

[Actualización 06/08/2021]:

  • Para los productos de Schneider Electric:
    • Se está trabajando en una próxima actualización. Hasta que esté disponible se recomiendan las siguientes medidas de mitigación:
      • Implantar un cortafuegos para restringir el acceso de la red a las unidades,
      • Configurar el controlador asociado a las unidades deshabilitando el reenvío de IP como se describe en la ayuda en línea de su controlador,
      • Configurar el controlador con listas de control de acceso dedicadas.
Detail: 

Las vulnerabilidades de severidad crítica son:

  • La rutina para analizar las respuestas de DNS no comprueba el campo de "longitud de datos de respuesta" de las respuestas de DNS individuales, lo que puede permitir a un atacante la ejecución remota de código mediante la lectura o escritura fuera de límites. Se ha asignado el identificador CVE-2020-25928 para esta vulnerabilidad.
  • La falta de validación de tamaño de las solicitudes HTTP POST podría permitir a un atacante la ejecución remota de código mediante un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-31226 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta y media se han asignado los identificadores: CVE-2020-25767, CVE-2020-25927,  CVE-2021-31227,  CVE-2021-31400,  CVE-2021-31401,  CVE-2020-35683,  CVE-2020-35684,  CVE-2020-35685,  CVE-2020-27565,  CVE-2021-36762,  CVE-2020-25926 y CVE-2021-31228.

Encuesta valoración