Home / Node / Boletín de INCIBE-CERT del 06-08-2021

Boletín de INCIBE-CERT del 06-08-2021

[Actualización 08/09/2021] Múltiples vulnerabilidades en productos de la serie MELSEC iQ-R de Mitsubishi Electric

Publication date: 
08/06/2021
Importance: 
4 - Alta
Affected resources: 

Los siguientes módulos de CPU de la serie MELSEC iQ-R:

  • R08/16/32/120SFCPU, todas las versiones de firmware;
  • R08/16/32/120PSFCPU, todas las versiones de firmware.
Description: 

Se han publicado 3 vulnerabilidades que afectan a productos Mitsubishi Electric que podrían permitir a un atacante la divulgación de información, el acceso no autorizado o la evasión de autenticación.

Solution: 
  • Mitsubishi Electric está trabajando en una actualización que publicará en el futuro.
  • Mientras tanto, recomienda seguir las siguientes medidas de mitigación:
    • utilizar un cortafuegos o una red privada virtual (VPN), etc., para impedir el acceso no autorizado cuando se requiera el acceso a Internet.
    • utilizar los equipos dentro de una LAN y bloquear el acceso desde redes y hosts no confiables a través de cortafuegos.
    • utilizar la función de filtro IP para restringir las direcciones IP accesibles.
Detail: 
  • Un atacante remoto puede adquirir nombres de usuario legítimos registrados en el módulo mediante un ataque de fuerza bruta a los nombres de usuario para obtener información sensible. Se ha asignado el identificador CVE-2021-20594 para esta vulnerabilidad.
  • Al registrar la información del usuario en el módulo de la CPU o cambiar la contraseña, un atacante remoto puede interceptar el tráfico de la red y obtener las credenciales, pudiendo ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20597 para esta vulnerabilidad.
  • Un atacante remoto puede obtener las credenciales, y podría ser capaz de iniciar sesión en el módulo de la CPU sin autorización. Se ha asignado el identificador CVE-2021-20598 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en myPRO de mySCADA

Publication date: 
08/06/2021
Importance: 
4 - Alta
Affected resources: 

myPRO, todas las versiones anteriores a la 8.20.0.

Description: 

El investigador, Michael Heinzl, informó al CISA de cuatro vulnerabilidades de severidad alta que podrían permitir a un atacante acceder a información sensible o subir archivos arbitrarios.

Solution: 

Actualizar a la versión 8.20.0 o posterior.

Detail: 
  • El producto afectado no restringe el acceso de lectura no autorizado a información sensible del sistema, ni al listado de directorios. A estas vulnerabilidades se les han asignado los identificadores CVE-2021-33013 y CVE-2021-33005.
  • Una vulnerabilidad de subida no restringida de archivos potencialmente peligrosos y otra de limitación incorrecta de nombre de ruta a un directorio restringido (path traversal), podrían permitir a un atacante, remoto y no autentificado, subir archivos arbitrarios al sistema de archivos y a directorios. A estas vulnerabilidades se les han asignado los identificadores CVE-2021-33009 y CVE-2021-33005.

Encuesta valoración

Múltiples vulnerabilidades en FvDesigner de FATEK Automation

Publication date: 
08/06/2021
Importance: 
4 - Alta
Affected resources: 

FvDesigner, versión 1.5.88 y anteriores.

Description: 

Un investigador anónimo, en colaboración con ZDI de Trend Micro, ha reportado al CISA tres vulnerabilidades de severidad alta que podrían permitir a un atacante ejecutar código arbitrario.

Solution: 

Contactar con FATEK a través de su sitio web para recibir información.

Detail: 
  • Un puntero no inicializado podría ser explotado mientras la aplicación procesa archivos de proyecto especialmente diseñados, lo que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32931 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en pila (stack) podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32947 para esta vulnerabilidad.
  • Una vulnerabilidad de escritura fuera de límites durante el procesamiento de archivos, podría permitir a un atacante diseñar un archivo de proyecto que le permitiera ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32939 para esta vulnerabilidad.

Encuesta valoración

[Actualización 06/08/2021] INFRA:HALT, múltiples vulnerabilidades en NicheStack

Publication date: 
08/04/2021
Importance: 
5 - Crítica
Affected resources: 
  • Pila TCP/IP NicheStack, comúnmente utilizada en millones de dispositivos de TO en todo el mundo, incluso en infraestructura crítica como plantas de fabricación, generación / transmisión / distribución de energía, tratamiento de agua, etc.
    • Pila de InterNiche, todas las versiones anteriores a la v4.3;
    • NicheLite, todas las versiones anteriores a la v4.3.

[Actualización 05/08/2021]:

  • Productos afectados de Siemens:
    • SENTRON 3WA COM190, todas las versiones anteriores a la V2.0.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 3WL COM35, todas las versiones anteriores a la V1.2.0, solo afectados por las vulnerabilidades CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, todas las versiones anteriores a la V3.0.4, solo afectados por las vulnerabilidades CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 y CVE-2021-31401.
  • Productos afectados de Phoenix Contact:
    • ILC1x1, variantes 2700973, 2700974, 2700975, 2700976, 2701034 y 2701141, todas las versiones de firmware;
    • ILC1x0, todas las variantes, todas las versiones de firmware;
    • AXC 1050, variantes 2700988 y 2701295, todas las versiones de firmware;
    • EV-PLCC-AC1-DC1, variantes 1624130, todas las versiones de firmware;

[Actualización 06/08/2021]:

  • Productos de Schneider Electric:
    • Lexium ILE ILA ILS, versión de firmware V01.103 y anteriores.
Description: 

Se han descubierto 14 vulnerabilidades, 2 de severidad crítica, 10 altas y 2 medias, que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la fuga de información, la suplantación de TCP o el envenenamiento de la caché de DNS.

Solution: 
  • Actualizar a NicheStack v4.3.

Si esto no es posible, realizar las siguientes medidas de mitigación:

  • Ejecutar el script de código abierto de Forescout Research Labs para detectar dispositivos que ejecutan NicheStack. La lista se actualiza constantemente con las últimas firmas.
  • Aislar y segmentar los dispositivos vulnerables del resto de la red hasta que se puedan parchear. Mitigar de acuerdo con la lista a continuación.
    • Para las vulnerabilidades CVE-2020-25928, CVE-2020-25767, CVE-2020-25927, CVE-2021-31228 y CVE-2020-25926: desactivar el cliente DNSv4 si no es necesario o bloquear el tráfico DNSv4. Debido a que existen varias vulnerabilidades que facilitan los ataques de suplantación de DNS, es posible que el uso de servidores DNS internos no sea suficiente (los atacantes pueden secuestrar la correspondencia solicitud-respuesta).
    • Para las vulnerabilidades CVE-2021-31226 y CVE-2021-31227: desactivar el servidor HTTP si no es necesario, o incluir las conexiones HTTP en la lista blanca.
    • Para las vulnerabilidades CVE-2021-31400, CVE-2021-31401 y CVE-2020-35684: monitorizar el tráfico en busca de paquetes IPv4 / TCP con formato incorrecto y bloquearlos. Por ejemplo, debería ser suficiente tener un dispositivo vulnerable detrás de un cortafuegos correctamente configurado.
    • Para la vulnerabilidad CVE-2020-35685, seguir las recomendaciones de NUMBER:JACK, siempre que sea posible.
    • Para la vulnerabilidad 2020-35683: supervisar el tráfico de paquetes ICPMv4 con formato incorrecto y bloquearlos.
  • Supervisar los parches publicados por los proveedores de dispositivos y crear un plan para la continuidad del negocio hasta que se complete la reparación completa. Los parches lanzados por HCC Embedded, la compañía que adquirió InterNiche Technologies, están disponibles bajo demanda.
  • Controlar los paquetes maliciosos que intentan explotar estas vulnerabilidades u otras.

[Actualización 05/08/2021]:

  • Para los productos de Siemens:
    • SENTRON 3WA COM190, actualizar a la V2.0.0 o posterior.
    • SENTRON 3WL COM35, actualizar a la V1.2.0 o posterior.
    • SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Module, actualizar a la V3.0.4 o posterior.
  • Para los productos afectados de Phoenix Contact:
    • Phoenix Contact recomienda encarecidamente utilizar los dispositivos exclusivamente en redes cerradas y protegidas por un cortafuegos adecuado. Phoenix Contact ofrece la familia de productos mGuard para la segmentación y protección de la red.

[Actualización 06/08/2021]:

  • Para los productos de Schneider Electric:
    • Se está trabajando en una próxima actualización. Hasta que esté disponible se recomiendan las siguientes medidas de mitigación:
      • Implantar un cortafuegos para restringir el acceso de la red a las unidades,
      • Configurar el controlador asociado a las unidades deshabilitando el reenvío de IP como se describe en la ayuda en línea de su controlador,
      • Configurar el controlador con listas de control de acceso dedicadas.
Detail: 

Las vulnerabilidades de severidad crítica son:

  • La rutina para analizar las respuestas de DNS no comprueba el campo de "longitud de datos de respuesta" de las respuestas de DNS individuales, lo que puede permitir a un atacante la ejecución remota de código mediante la lectura o escritura fuera de límites. Se ha asignado el identificador CVE-2020-25928 para esta vulnerabilidad.
  • La falta de validación de tamaño de las solicitudes HTTP POST podría permitir a un atacante la ejecución remota de código mediante un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-31226 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta y media se han asignado los identificadores: CVE-2020-25767, CVE-2020-25927,  CVE-2021-31227,  CVE-2021-31400,  CVE-2021-31401,  CVE-2020-35683,  CVE-2020-35684,  CVE-2020-35685,  CVE-2020-27565,  CVE-2021-36762,  CVE-2020-25926 y CVE-2021-31228.

Encuesta valoración

Múltiples vulnerabilidades en Advantech WebAccess/SCADA

Publication date: 
08/06/2021
Importance: 
5 - Crítica
Affected resources: 

WebAccess/SCADA, versiones anteriores a:

  • 8.4.5,
  • 9.0.1.
Description: 

Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, en colaboración con ZDI de Trend Micro, ha reportado 3 vulnerabilidades al CISA, 1 crítica y 2 medias, que podrían permitir a un atacante secuestrar los tokens de cookies/sesión de un usuario, obtener acceso no autorizado a archivos y directorios, o ejecutar código arbitrario.

Solution: 

Advantech recomienda actualizar WebAccess/SCADA a las versiones:

Detail: 
  • El producto afectado es vulnerable a un desbordamiento de búfer basado en pila (stack), lo que podría permitir a un atacante remoto ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32943 para esta vulnerabilidad crítica.
  • UserExcelOut.asp, utilizado en WebAccess/SCADA, es vulnerable al Cross-Site Scripting (XSS), que podría permitir a un atacante enviar código JavaScript malicioso. Esto podría resultar en el secuestro de los tokens de cookies/sesión, la redirección a una página web maliciosa, y la acción involuntaria del navegador. Se ha asignado el identificador CVE-2021-22676 para esta vulnerabilidad media.
  • El producto afectado es vulnerable a una limitación incorrecta de nombre de ruta relativa a un directorio restringido (relative path traversal), lo que podría permitir a un atacante acceder a archivos y directorios no autorizados. Se ha asignado el identificador CVE-2021-22674 para esta vulnerabilidad media.

Encuesta valoración