Martedì scorso, gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) ha emesso otto sistemi di controllo industriale (ICS) avvisi, avvertimento di gravi difetti, come CVE-2023-1133, in Delta Elettronica’ e le apparecchiature di Rockwell Automation. In particolare, Elettronica Delta’ Master dispositivo InfraSuite, un software di monitoraggio dei dispositivi in tempo reale, ha 13 vulnerabilità di sicurezza, tutte le versioni precedenti a 1.0.5 essere colpiti.
Se queste vulnerabilità vengono sfruttate, un utente malintenzionato non autorizzato può facilmente accedere a file e credenziali, ottenere privilegi elevati, e eseguire in remoto codice arbitrario, ha affermato la CISA.
CVE-2023-1133 Panoramica tecnica
La vulnerabilità più grave è CVE-2023-1133 (Punteggio CVSS: 9.8), che si verifica quando il software accetta pacchetti UDP non verificati e deserializza il contenuto, dando così un telecomando, aggressore non autenticato la capacità di eseguire codice arbitrario.
Il servizio di stato del dispositivo nelle versioni di Delta Electronics InfraSuite Device Master precedenti a 1.0.5 contengono una vulnerabilità in ascolto sulla porta 10100/ UDP senza verificare i pacchetti UDP ricevuti. Ciò consente a un utente malintenzionato non autenticato di deserializzare il contenuto di questi pacchetti ed eseguire in remoto codice arbitrario.
CISA mette in guardia su altre vulnerabilità in Rockwell Automation ThinManager ThinServer
CISA ha avvertito che altri due difetti di deserializzazione, CVE-2023-1139 (Punteggio CVSS: 8.8) e CVE-2023-1145 (Punteggio CVSS: 7.8), potrebbe essere utilizzato per ottenere l'esecuzione di codice in modalità remota. Queste vulnerabilità sono state scoperte e segnalate a CISA da Piotr Bazydlo e da un ricercatore di sicurezza anonimo.
ThinManager ThinServer di Rockwell Automation è vulnerabile a due falle di path traversal, classificato come CVE-2023-28755 (Punteggio CVSS: 9.8) e CVE-2023-28756 (Punteggio CVSS: 7.5). Queste vulnerabilità interessano le versioni da 6.x a 10.x, 11.0.0 a 11.0.5, 11.1.0 a 11.1.5, 11.2.0 a 11.2.6, 12.0.0 a 12.0.4, 12.1.0 a 12.1.5, e 13.0.0 a 13.0.1.
Il più grave di questi problemi è che un utente malintenzionato remoto non autenticato potrebbe caricare file arbitrari nella directory in cui è installato ThinServer.exe. Potrebbero anche utilizzare come arma CVE-2023-28755 per sovrascrivere i file eseguibili esistenti con versioni dannose, potenzialmente portando all'esecuzione di codice in modalità remota.
CISA ha avvertito che lo sfruttamento di queste vulnerabilità potrebbe dare a un utente malintenzionato la possibilità di eseguire codice remoto sul sistema di destinazione o causare il crash del software. Per proteggersi da potenziali rischi per la sicurezza, gli utenti dovrebbero eseguire l'aggiornamento a una qualsiasi delle versioni 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6, o 13.0.2. Inoltre, poiché le versioni ThinManager ThinServer da 6.x a 10.x non sono più supportate, gli utenti dovrebbero eseguire l'aggiornamento a una versione più recente. Come precauzione, si suggerisce che l'accesso remoto della porta 2031/TCP sia limitato ai thin client noti e ai server ThinManager.
Che cos'è una vulnerabilità di deserializzazione?
Deserializzazione non sicura, noto anche come deserializzazione insicura, è una vulnerabilità di sicurezza che si verifica quando un'applicazione deserializza l'input di dati non validi e non attendibili. Se sfruttata, questa vulnerabilità può essere utilizzata per assumere il controllo del flusso logico dell'applicazione e potenzialmente eseguire codice dannoso.
Possono verificarsi problemi di deserializzazione non sicura quando un individuo malintenzionato è in grado di trasferire dati dannosi nei dati forniti da un utente, che viene poi deserializzato. Questo può portare all'inserimento di oggetti arbitrari nell'applicazione, potenzialmente cambiando il modo in cui doveva funzionare.