Na terça-feira, os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu oito Sistemas de Controle Industrial (ICS) avisos, aviso de grandes falhas, como CVE-2023-1133, na Delta Electronics’ e equipamentos da Rockwell Automation. Em particular, Delta Electronics’ InfraSuite Device Master, um software de monitoramento de dispositivos em tempo real, tem 13 vulnerabilidades de segurança, todas as versões anteriores a 1.0.5 sendo afetado.
Se essas vulnerabilidades forem exploradas, um invasor não autorizado pode acessar facilmente arquivos e credenciais, ganhar privilégios escalonados, e executar remotamente código arbitrário, CISA afirmou.
CVE-2023-1133 Visão geral técnica
A vulnerabilidade mais grave é CVE-2023-1133 (pontuação CVSS: 9.8), que ocorre quando o software aceita pacotes UDP não verificados e desserializa o conteúdo, dando assim um controle remoto, invasor não autenticado a capacidade de executar código arbitrário.
O serviço Device-status nas versões Delta Electronics InfraSuite Device Master anteriores a 1.0.5 contém uma vulnerabilidade que escuta na porta 10100/ UDP sem verificar os pacotes UDP que recebe. Isso permite que um invasor não autenticado desserialize o conteúdo desses pacotes e execute remotamente um código arbitrário.
CISA adverte sobre outras vulnerabilidades no Rockwell Automation ThinManager ThinServer
A CISA alertou que duas outras falhas de desserialização, CVE-2023-1139 (pontuação CVSS: 8.8) e CVE-2023-1145 (pontuação CVSS: 7.8), pode ser usado para obter execução remota de código. Essas vulnerabilidades foram descobertas e relatadas à CISA por Piotr Bazydlo e um pesquisador de segurança anônimo.
O ThinManager ThinServer da Rockwell Automation é vulnerável a duas falhas de path traversal, categorizado como CVE-2023-28755 (pontuação CVSS: 9.8) e CVE-2023-28756 (pontuação CVSS: 7.5). Essas vulnerabilidades afetam as versões 6.x a 10.x, 11.0.0 para 11.0.5, 11.1.0 para 11.1.5, 11.2.0 para 11.2.6, 12.0.0 para 12.0.4, 12.1.0 para 12.1.5, e 13.0.0 para 13.0.1.
O mais grave desses problemas é que um invasor remoto não autenticado pode carregar arquivos arbitrários no diretório onde o ThinServer.exe está instalado. Eles também podem armar o CVE-2023-28755 para sobrescrever arquivos executáveis existentes com versões maliciosas, potencialmente levando à execução remota de código.
A CISA alertou que a exploração dessas vulnerabilidades pode dar a um invasor a capacidade de executar código remoto no sistema de destino ou causar a falha do software. Para proteger contra possíveis riscos de segurança, os usuários devem atualizar para qualquer uma das versões 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6, ou 13.0.2. Além disso, já que as versões 6.x a 10.x do ThinManager ThinServer não são mais suportadas, os usuários devem atualizar para uma versão mais recente. Como precaução, sugere-se que o acesso remoto da porta 2031/TCP seja limitado a thin clients conhecidos e servidores ThinManager.
O que é uma vulnerabilidade de desserialização?
Desserialização insegura, também conhecido como desserialização insegura, é uma vulnerabilidade de segurança que ocorre quando um aplicativo desserializa entrada de dados malformados e não confiáveis. Se explorada, esta vulnerabilidade pode ser usada para assumir o controle do fluxo lógico do aplicativo e potencialmente executar códigos maliciosos.
Problemas de desserialização insegura podem ocorrer quando um indivíduo mal-intencionado é capaz de passar dados mal-intencionados para dados fornecidos por um usuário, que é então desserializado. Isso pode levar à injeção arbitrária de objetos no aplicativo, potencialmente mudando a forma como deveria funcionar.