El martes, los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió ocho sistemas de control industrial (ICS) avisos, advertencia de fallas importantes, como CVE-2023-1133, en Electrónica Delta’ y el equipo de Rockwell Automation. En particular, Electrónica Delta’ Maestro de dispositivos de InfraSuite, un software de monitoreo de dispositivos en tiempo real, tiene 13 vulnerabilidades de seguridad, todas las versiones anteriores a 1.0.5 siendo afectado.
Si estas vulnerabilidades son explotadas, un atacante no autorizado puede acceder fácilmente a archivos y credenciales, obtener privilegios escalados, y ejecutar remotamente código arbitrario, CISA declaró.
CVE-2023-1133 Resumen técnico
La vulnerabilidad más grave es CVE-2023-1133 (Puntuación CVSS: 9.8), que ocurre cuando el software acepta paquetes UDP no verificados y deserializa el contenido, dando así un control remoto, atacante no autenticado la capacidad de ejecutar código arbitrario.
El servicio de estado del dispositivo en las versiones de Delta Electronics InfraSuite Device Master anteriores a 1.0.5 contienen una vulnerabilidad que escucha en el puerto 10100/ UDP sin verificar los paquetes UDP que recibe. Esto permite que un atacante no autenticado deserialice el contenido de estos paquetes y ejecute código arbitrario de forma remota..
CISA advierte sobre otras vulnerabilidades en ThinManager ThinServer de Rockwell Automation
CISA ha advertido que otros dos fallos de deserialización, CVE-2023-1139 (Puntuación CVSS: 8.8) y CVE-2023-1145 (Puntuación CVSS: 7.8), podría usarse para obtener la ejecución remota de código. Estas vulnerabilidades fueron descubiertas e informadas a CISA por Piotr Bazydlo y un investigador de seguridad anónimo..
ThinManager ThinServer de Rockwell Automation es vulnerable a fallas transversales de dos rutas, categorizado como CVE-2023-28755 (Puntuación CVSS: 9.8) y CVE-2023-28756 (Puntuación CVSS: 7.5). Estas vulnerabilidades afectan a las versiones 6.x a 10.x, 11.0.0 a 11.0.5, 11.1.0 a 11.1.5, 11.2.0 a 11.2.6, 12.0.0 a 12.0.4, 12.1.0 a 12.1.5, y 13.0.0 a 13.0.1.
El más grave de estos problemas es que un atacante remoto no autenticado podría cargar archivos arbitrarios en el directorio donde está instalado ThinServer.exe.. También podrían armar CVE-2023-28755 para sobrescribir archivos ejecutables existentes con versiones maliciosas., potencialmente conduce a la ejecución remota de código.
CISA ha advertido que la explotación de estas vulnerabilidades podría dar a un atacante la capacidad de ejecutar código remoto en el sistema de destino o hacer que el software se bloquee.. Para protegerse contra posibles riesgos de seguridad, los usuarios deben actualizar a cualquiera de las versiones 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6, o 13.0.2. Además, ya que las versiones 6.x a 10.x de ThinManager ThinServer ya no son compatibles, los usuarios deben actualizar a una versión más nueva. Como precaucion, se sugiere que el acceso remoto del puerto 2031/TCP se limite a clientes ligeros conocidos y servidores ThinManager.
¿Qué es una vulnerabilidad de deserialización??
Deserialización insegura, también conocido como deserialización insegura, es una vulnerabilidad de seguridad que ocurre cuando una aplicación deserializa la entrada de datos mal formados y no confiables. Si se explota, esta vulnerabilidad se puede utilizar para tomar el control del flujo lógico de la aplicación y potencialmente ejecutar código malicioso.
Los problemas de deserialización no segura pueden ocurrir cuando una persona malintencionada puede pasar datos maliciosos a los datos proporcionados por un usuario., que luego se deserializa. Esto puede conducir a la inyección de objetos arbitrarios en la aplicación., potencialmente cambiando la forma en que estaba destinado a funcionar.