Se han descubierto múltiples vulnerabilidades de seguridad en varios servicios, incluido el sistema de control distribuido (DCS) Honeywell Experion y QuickBlox, que, si se explotan con éxito, podrían comprometer gravemente los sistemas afectados.
Apodadas Crit.IX, las nueve fallas en la plataforma DCS de Honeywell Experion permiten la «ejecución remota no autorizada de código, lo que significa que un atacante tendría el poder de apoderarse de los dispositivos y alterar el funcionamiento del controlador DCS, al mismo tiempo que oculta las alteraciones de la estación de trabajo de ingeniería que gestiona el controlador», dijo Armis en un comunicado compartido con The Hacker News.
Dicho de otra manera, los problemas se relacionan con la falta de encriptación y mecanismos de autenticación adecuados en un protocolo patentado llamado Control Data Access (CDA) que se usa para comunicarse entre los servidores Experion y los controladores C300, lo que permite que un actor de amenazas se haga cargo de los dispositivos y altere la operación. del controlador DCS.
«Como resultado, cualquier persona con acceso a la red puede hacerse pasar por el controlador y el servidor», Tom Gol, CTO de investigación en Armis, dicho. «Además, existen fallas de diseño en el protocolo CDA que dificultan el control de los límites de los datos y pueden provocar desbordamientos del búfer».
En un desarrollo relacionado, Check Point y Claroty descubrieron fallas importantes en una plataforma de chat y videollamadas conocida como QuickBlox que se usa ampliamente en telemedicina, finanzas y dispositivos IoT inteligentes. Las vulnerabilidades podrían permitir a los atacantes filtrar la base de datos de usuarios de muchas aplicaciones populares que incorporan QuickBlox SDK y API.
Esto incluye a Rozcom, un proveedor israelí que vende intercomunicadores para casos de uso residencial y comercial. Un examen más detallado de su aplicación móvil condujo al descubrimiento de errores adicionales (CVE-2023-31184 y CVE-2023-31185) que hizo posible descargar todas las bases de datos de los usuarios, hacerse pasar por cualquier usuario y realizar ataques completos de adquisición de cuentas.
«Como resultado, pudimos tomar el control de todos los dispositivos de intercomunicación de Rozcom, dándonos un control total y permitiéndonos acceder a las cámaras y micrófonos de los dispositivos, interceptar su transmisión, abrir puertas administradas por los dispositivos y más», dijeron los investigadores. dicho.
También se revelaron esta semana fallas de ejecución remota de código que impactan Puntos de acceso de Aerohive/Extreme Networks ejecutar HiveOS/Extreme IQ Engine versiones anteriores a 10.6r2 y la biblioteca de código abierto Ghostscript (CVE-2023-36664puntaje CVSS: 9.8) que podría resultar en la ejecución de comandos arbitrarios.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
«Ghostscript es un paquete muy utilizado pero no necesariamente muy conocido», Dave Truman, investigador de Kroll. dicho. «Se puede ejecutar de muchas maneras diferentes, desde abrir un archivo en un editor de imágenes vectoriales como Inkscape hasta imprimir un archivo a través de CUPS. Esto significa que la explotación de una vulnerabilidad en Ghostscript podría no estar limitada a una aplicación o ser inmediatamente obvia». .»
Completando la lista está el descubrimiento de credenciales codificadas en los enrutadores de puerta de enlace Technicolor TG670 DSL que un usuario autenticado podría armar para obtener el control administrativo total de los dispositivos.
«Un atacante remoto puede usar el nombre de usuario y la contraseña predeterminados para iniciar sesión como administrador en el dispositivo enrutador», CERT/CC dicho en un aviso. «Esto le permite al atacante modificar cualquiera de las configuraciones administrativas del enrutador y usarlo de formas inesperadas».
Se recomienda a los usuarios que deshabiliten la administración remota en sus dispositivos para evitar posibles intentos de explotación y consulten con los proveedores de servicios para determinar si están disponibles los parches y actualizaciones apropiados.