Alertas CISA sobre Vulnerabilidades Críticas de Seguridad en Sistemas de Control Industrial


22 de marzo de 2023Ravie LakshmanánSeguridad ICS/SCADA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha lanzado ocho Sistemas de Control Industrial (ICS) avisos el martes, advirtiendo sobre fallas críticas que afectan los equipos de Delta Electronics y Rockwell Automation.

Esto incluye 13 vulnerabilidades de seguridad en InfraSuite Device Master de Delta Electronics, un software de monitoreo de dispositivos en tiempo real. Todas las versiones anteriores a la 1.0.5 se ven afectadas por los problemas.

“La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga acceso a archivos y credenciales, aumente los privilegios y ejecute código arbitrario de forma remota”, CISA dicho.

El primero de la lista es CVE-2023-1133 (puntaje CVSS: 9.8), una falla crítica que surge del hecho de que InfraSuite Device Master acepta paquetes UDP no verificados y deserializa el contenidolo que permite que un atacante remoto no autenticado ejecute código arbitrario.

Otros dos defectos de deserialización, CVE-2023-1139 (puntuación CVSS: 8,8) y CVE-2023-1145 (puntuación CVSS: 7,8) también podría utilizarse como arma para obtener la ejecución remota de código, advirtió CISA.

A Piotr Bazydlo y un investigador de seguridad anónimo se les atribuye el descubrimiento y la notificación de las deficiencias a CISA.

Otro conjunto de vulnerabilidades se relaciona con ThinManager ThinServer de Rockwell Automation y afecta a las siguientes versiones del software de administración de servidor de protocolo de escritorio remoto (RDP) y cliente ligero:

  • 6.x – 10.x
  • 11.0.0 – 11.0.5
  • 11.1.0 – 11.1.5
  • 11.2.0 – 11.2.6
  • 12.0.0 – 12.0.4
  • 12.1.0 – 12.1.5, y
  • 13.0.0 – 13.0.1

El más grave de los problemas es la falla transversal de dos caminos rastreada como CVE-2023-28755 (puntuación CVSS: 9,8) y CVE-2023-28756 (puntuación CVSS: 7,5) que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios en el directorio donde está instalado ThinServer.exe.

Aún más preocupante, el adversario podría armar CVE-2023-28755 para sobrescribir archivos ejecutables existentes con versiones troyanizadas, lo que podría conducir a la ejecución remota de código.

SEMINARIO WEB

Descubra los peligros ocultos de las aplicaciones SaaS de terceros

¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.

RESERVA TU ASIENTO

“La explotación exitosa de estas vulnerabilidades podría permitir que un atacante realice potencialmente la ejecución remota de código en el sistema/dispositivo de destino o bloquee el software”, CISA anotado.

Se recomienda a los usuarios que actualicen a las versiones 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 y 13.0.2 para mitigar posibles amenazas. Las versiones 6.x a 10.x de ThinManager ThinServer se han retirado, lo que requiere que los usuarios actualicen a una versión compatible.

Como solución alternativa, también se recomienda que el acceso remoto al puerto 2031/TCP se limite a clientes ligeros y servidores ThinManager conocidos.

La divulgación llega más de seis meses después de CISA alertado de una vulnerabilidad de desbordamiento de búfer de alta gravedad en Rockwell Automation ThinManager ThinServer (CVE-2022-38742puntaje CVSS: 8.1) que podría resultar en la ejecución remota de código arbitrario.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57