MĂșltiples vulnerabilidades en productos RTU de Mitsubishi Electric

Fecha de publicaciĂłn: 10/09/2021

Importancia:
CrĂ­tica

Recursos afectados:

smartRTU e INEA ME-RTU, todas las versiones de firmware anteriores a la 3.3.

DescripciĂłn:

El investigador Mark Cross ha reportado al CISA cuatro vulnerabilidades de severidad crĂ­tica, una de severidad alta y dos de severidad media, que podrĂ­an permitir a un atacante remoto la ejecuciĂłn de cĂłdigo arbitrario, obtener credenciales o iniciar sesiĂłn en los equipos afectados.

SoluciĂłn:

Actualizar el firmware a la versiĂłn 3.3 u otra posterior.

Detalle:

  • Una vulnerabilidad de inyecciĂłn de comandos del SO podrĂ­a permitir a un atacante ejecutar cĂłdigo arbitrario al introducir datos en la shell del sistema. Se ha asignado el identificador CVE-2019-14931 para esta vulnerabilidad crĂ­tica.
  • Las claves SSH se encuentran embebidas en el firmware. Estas claves no pueden ser regeneradas por el usuario ni mediante una actualizaciĂłn de firmware, por lo que todos los productos afectados desplegados utilizan las mismas claves SSH. Se ha asignado el identificador CVE-2019-14926 para esta vulnerabilidad crĂ­tica.
  • Las credenciales de cuentas de usuario embebidas en el firmware de los productos afectados podrĂ­an permitir a un atacante iniciar sesiĂłn en las unidades de terminal remota. Se ha asignado el identificador CVE-2019-14930 para esta vulnerabilidad crĂ­tica.
  • Las credenciales se almacenan en texto plano, sin protecciĂłn, en un archivo de configuraciĂłn, lo que podrĂ­a permitir a un atacante no autenticado obtener dichas credenciales y acceder a servicios especĂ­ficos. Se ha asignado el identificador CVE-2019-14929 para esta vulnerabilidad de severidad crĂ­tica.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2019-14927.

Para el resto de las vulnerabilidades de severidad media se han asignado los identificadores CVE-2019-14928 y CVE-2019-14925.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.