La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha lanzado ocho Sistemas de Control Industrial (ICS) avisos el martes, advirtiendo sobre fallas críticas que afectan los equipos de Delta Electronics y Rockwell Automation.
Esto incluye 13 vulnerabilidades de seguridad en InfraSuite Device Master de Delta Electronics, un software de monitoreo de dispositivos en tiempo real. Todas las versiones anteriores a la 1.0.5 se ven afectadas por los problemas.
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga acceso a archivos y credenciales, aumente los privilegios y ejecute código arbitrario de forma remota», CISA dicho.
El primero de la lista es CVE-2023-1133 (puntaje CVSS: 9.8), una falla crítica que surge del hecho de que InfraSuite Device Master acepta paquetes UDP no verificados y deserializa el contenidolo que permite que un atacante remoto no autenticado ejecute código arbitrario.
Otros dos defectos de deserialización, CVE-2023-1139 (puntuación CVSS: 8,8) y CVE-2023-1145 (puntuación CVSS: 7,8) también podría utilizarse como arma para obtener la ejecución remota de código, advirtió CISA.
A Piotr Bazydlo y un investigador de seguridad anónimo se les atribuye el descubrimiento y la notificación de las deficiencias a CISA.
Otro conjunto de vulnerabilidades se relaciona con ThinManager ThinServer de Rockwell Automation y afecta a las siguientes versiones del software de administración de servidor de protocolo de escritorio remoto (RDP) y cliente ligero:
- 6.x – 10.x
- 11.0.0 – 11.0.5
- 11.1.0 – 11.1.5
- 11.2.0 – 11.2.6
- 12.0.0 – 12.0.4
- 12.1.0 – 12.1.5, y
- 13.0.0 – 13.0.1
El más grave de los problemas es la falla transversal de dos caminos rastreada como CVE-2023-28755 (puntuación CVSS: 9,8) y CVE-2023-28756 (puntuación CVSS: 7,5) que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios en el directorio donde está instalado ThinServer.exe.
Aún más preocupante, el adversario podría armar CVE-2023-28755 para sobrescribir archivos ejecutables existentes con versiones troyanizadas, lo que podría conducir a la ejecución remota de código.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante realice potencialmente la ejecución remota de código en el sistema/dispositivo de destino o bloquee el software», CISA anotado.
Se recomienda a los usuarios que actualicen a las versiones 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 y 13.0.2 para mitigar posibles amenazas. Las versiones 6.x a 10.x de ThinManager ThinServer se han retirado, lo que requiere que los usuarios actualicen a una versión compatible.
Como solución alternativa, también se recomienda que el acceso remoto al puerto 2031/TCP se limite a clientes ligeros y servidores ThinManager conocidos.
La divulgación llega más de seis meses después de CISA alertado de una vulnerabilidad de desbordamiento de búfer de alta gravedad en Rockwell Automation ThinManager ThinServer (CVE-2022-38742puntaje CVSS: 8.1) que podría resultar en la ejecución remota de código arbitrario.