Home / Node / Boletín de INCIBE-CERT del 06-04-2022

Boletín de INCIBE-CERT del 06-04-2022

Deserialización de datos no fiables en productos Rockwell Automation

Publication date: 
04/06/2022
Importance: 
4 - Alta
Affected resources: 
  • Connected Component Workbench, versión 13.00.00 y anteriores;
  • ISaGRAF Workbench, desde la versión 6.0 hasta la 6.6.9;
  • Safety Instrumented Systems Workstation, versión 1.2 y anteriores (para Trusted Controllers).
Description: 

El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.

Solution: 

Rockwell Automation recomienda a los usuarios actualizar a la versión 20.00 o posterior.

Para ISaGRAF Workbench y Safety Instrumented Systems Workstation, Rockwell Automation recomienda a los usuarios aplicar las medidas de mitigación descritas en el aviso de CISA.

Detail: 

Varios productos de Rockwell Automation no limitan los objetos que pueden ser deserializados. Esta situación podría permitir a un atacante crear un objeto serializado malicioso que, si es abierto por un usuario local en Connected Components Workbench, podría resultar en la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-1118 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad en Metasys de Johnson Controls Inc.

Publication date: 
04/06/2022
Importance: 
4 - Alta
Affected resources: 

Metasys ADS/ADX/OAS, versiones 10 y 11.

Description: 

Tony West ha reportado esta vulnerabilidad de severidad alta a Johnson Controls Inc., publicada por el CISA, que podría permitir a un atacante, autenticado, inyectar código malicioso en la funcionalidad MUI PDF export.

Solution: 
  • Actualizar Metasys ADS/ADX/OAS:
    • versión 10 a la versión 10.1.5;
    • versión 11 a la versión 11.0.2.
Detail: 

Un atacante autenticado podría inyectar código malicioso en la función de exportación de PDF de MUI (MUI PDF export), lo que podría dar lugar a la falsificación de solicitudes del lado del servidor (ataque server-side request forgery). Se ha asignado el identificador CVE-2021-36202 para esta vulnerabilidad.

Encuesta valoración

[Actualización 06/04/2022] Múltiples vulnerabilidades en Vue PACS de Philips

Publication date: 
07/07/2021
Importance: 
5 - Crítica
Affected resources: 
  • Vue PACS, versión 12.2.x.x y anteriores;
  • Vue MyVue, versión 12.2.x.x y anteriores;
  • Vue Speech, versión 12.2.x.x y anteriores;
  • Vue Motion, versión 12.2.1.5 y anteriores.
Description: 

Philips ha reportado 16 vulnerabilidades, 5 de severidad crítica, 4 altas, 6 medias y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad del mismo.

Solution: 

Philips ha publicado las siguientes medidas para solucionar estas vulnerabilidades:

  • configurar el entorno Vue PACS según D00076344 - Vue_PACS_12_Ports_Protocols_Services_Guide disponible en Incenter;
  • actualizar MyVue a la versión 12.2.1.5 de junio de 2020 para solucionar CVE-2021-27497 y contactar con el soporte;
  • actualizar Vue Motion a la versión 12.2.1.5 de junio de 2020 para solucionar CVE-2021-33020 y contactar con el soporte;
  • actualizar Speech a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2021-27497, CVE-2021-33022, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 y CVE-2012-1708, y contactar con el soporte;
  • actualizar PACS a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2020-1938, CVE-2018-12326, CVE-2018-11218 y CVE-2020-4670, y contactar con el soporte;
  • actualizar Speech a la versión 15 del primer trimestre de 2022 para solucionar CVE-2018-10115, CVE-2021-33018 y CVE-2021-27501, y contactar con el soporte;
  • actualizar MyVue a la versión 15 del primer trimestre de 2022 para solucionar CVE-2018-10115 y CVE-2021-27501, y contactar con el soporte;
  • actualizar PACS a la versión 15 del primer trimestre de 2022 para solucionar CVE-2015-9251, CVE-2021-27497, CVE-2018-10115, CVE-2018-8014, CVE-2021-33018, CVE-2019-9636, CVE-2021-33024, CVE-2021-27501 y CVE-2021-27493, y contactar con el soporte.
Detail: 
  • El producto recibe entradas o datos, pero no valida (o valida incorrectamente) que la entrada tenga las propiedades necesarias para procesar los datos de forma segura y correcta. Se ha asignado el identificador CVE-2020-1938 para esta vulnerabilidad crítica.
  • El software realiza operaciones en un búfer de memoria, pero puede leer o escribir en una ubicación de memoria que está fuera de los límites previstos del búfer. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se han asignado los identificadores CVE-2018-12326 y CVE-2018-11218 para estas vulnerabilidades críticas.
  • Cuando un actor afirma tener una identidad determinada, el software no demuestra (o demuestra insuficientemente) que la afirmación es correcta. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se ha asignado el identificador CVE-2020-4670 para esta vulnerabilidad crítica.
  • El software inicia o establece un recurso con un valor predeterminado que se pretende cambiar por el administrador, pero el valor predeterminado no es seguro. Se ha asignado el identificador CVE-2018-8014 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33020, CVE-2018-10115, CVE-2021-27501, CVE-2021-33018, CVE-2021-27497, CVE-2012-1708, CVE-2015-9251, CVE-2021-27493, CVE-2019-9636, CVE-2021-33024 y CVE-2021-33022.

Encuesta valoración