Mar, 22/08/2023 – 11:35
VersiĂłn firmware 601j de los siguientes dispositivos:
- ekorCCP,
- ekorRCI.
INCIBE ha coordinado la publicaciĂłn de 10 vulnerabilidades en los dispositivos industriales ekorCCP y ekorRCI de Ormazabal, las cuales han sido descubiertas por el equipo de Ciberseguridad Industrial de S21sec, menciĂłn especial a Jacinto Moral MatellĂĄn.
A estas vulnerabilidades se les han asignado los siguientes cĂłdigos:
- CVE-2022-47553:
- PuntuaciĂłn base CVSS v3.1: 8,6.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N.
- Tipo de vulnerabilidad: CWE-285: Improper Authorization.
- CVE-2022-47554:
- PuntuaciĂłn base CVSS v3.1: 8,2.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N.
- Tipo de vulnerabilidad: CWE-200: Exposure of Sensitive Information to an Unauthorized Actor.
- CVE-2022-47555:
- PuntuaciĂłn base CVSS v3.1: 8,5.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N.
- Tipo de vulnerabilidad: CWE-78: Improper Neutralization of Special Elements used in an OS Command.
- CVE-2022-47556:
- PuntuaciĂłn base CVSS v3.1: 6,5.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:L /UI:N/S:U/C:N/I:N/A:H.
- Tipo de vulnerabilidad: CWE-400: Uncontrolled Resource Consumption.
- CVE-2022-47557:
- PuntuaciĂłn base CVSS v3.1: 6,1.
- CĂĄlculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N.
- Tipo de vulnerabilidad: CWE-916: Use of Password Hash With Insufficient Computational Effort.
- CVE-2022-47558:
- PuntuaciĂłn base CVSS v3.1: 9,4.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.
- Tipo de vulnerabilidad: CWE-284: Improper Access Control.
- CVE-2022-47559:
- PuntuaciĂłn base CVSS v3.1: 8,6.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
- Tipo de vulnerabilidad: CWE-352: Cross-Site Request Forgery (CSRF).
- CVE-2022-47560:
- PuntuaciĂłn base CVSS v3.1: 5,7.
- CĂĄlculo del CVSS: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N.
- Tipo de vulnerabilidad: CWE-319: Cleartext Transmission of Sensitive Information.
- CVE-2022-47561:
- PuntuaciĂłn base CVSS v3.1: 7,3.
- CĂĄlculo del CVSS: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
- Tipo de vulnerabilidad: CWE-256: Unprotected Storage of Credentials.
- CVE-2022-47562:
- PuntuaciĂłn base CVSS v3.1: 7,5.
- CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H.
- Tipo de vulnerabilidad: CWE-770: Allocation of Resources Without Limits or Throttling.
Los dispositivos afectados se encuentran en el fin de ciclo de su vida Ăștil. Ormazabal recomienda actualizar a los modelos actualizados.
Vulnerabilidades que afectan, tanto a ekorCCP como a ekorRCI:
- CVE-2022-47553: autorizaciĂłn incorrecta, la cual podrĂa permitir a un atacante remoto obtener recursos con informaciĂłn sensible para la organizaciĂłn, sin estar autenticado dentro del servidor web.
- CVE-2022-47554: exposiciĂłn de informaciĂłn sensible, pudiendo permitir a un atacante remoto obtener informaciĂłn crĂtica de diferentes archivos .xml, incluyendo archivos .xml conteniendo credenciales, sin estar autenticado dentro del servidor web.
- CVE-2022-47555: inyecciĂłn de comandos del sistema operativo, lo que podrĂa permitir a un atacante autenticado ejecutar comandos, crear nuevos usuarios con privilegios elevados o configurar una puerta trasera.
- CVE-2022-47557: vulnerabilidad que podrĂa permitir a un atacante con acceso a la red donde se encuentra el dispositivo, descifrar las credenciales de usuarios privilegiados, y posteriormente obtener acceso al sistema para ejecutar acciones maliciosas.
- CVE-2022-47558: los dispositivos son vulnerables debido al acceso al servicio FTP utilizando credenciales por defecto. La explotaciĂłn de esta vulnerabilidad puede permitir a un atacante modificar ficheros crĂticos que podrĂan permitir la creaciĂłn de nuevos usuarios, borrar o modificar usuarios existentes, modificar ficheros de configuraciĂłn, instalaciĂłn de rootkits o backdoor.
- CVE-2022-47559: falta de control del dispositivo sobre las peticiones web, permitiendo a un atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario estĂĄ conectado, afectando a la disponibilidad, privacidad e integridad.
- CVE-2022-47560: la falta de control de peticiones web en los dispositivos afectados, permite a un potencial atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario estĂĄ logueado.
- CVE-2022-47561: la aplicaciĂłn web almacena credenciales en texto claro en el archivo “admin.xml”, al que se puede acceder sin iniciar sesiĂłn en el sitio web, lo que podrĂa permitir a un atacante obtener credenciales relacionadas con todos los usuarios, incluidos los usuarios administradores, en texto claro, y utilizarlas para ejecutar posteriormente acciones maliciosas.
- CVE-2022-47562: vulnerabilidad en el servicio RCPbind que se ejecuta en el puerto UDP (111), lo que permite a un atacante remoto crear una condiciĂłn de denegaciĂłn de servicio (DoS).
Vulnerabilidad que afecta solo a ekorRCI:
- CVE-2022-47556: consumo de recursos no controlado, permitiendo a un atacante con acceso al servidor web con privilegios bajos, enviar peticiones web legĂtimas continuas a una funcionalidad que no estĂĄ validada correctamente, con el fin de provocar una denegaciĂłn de servicio (DoS) en el dispositivo.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.