Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Ormazabal

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en productos de Ormazabal
Mar, 22/08/2023 – 11:35

Aviso SCI
Recursos Afectados

VersiĂłn firmware 601j de los siguientes dispositivos:

  • ekorCCP,
  • ekorRCI.
DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 10 vulnerabilidades en los dispositivos industriales ekorCCP y ekorRCI de Ormazabal, las cuales han sido descubiertas por el equipo de Ciberseguridad Industrial de S21sec, menciĂłn especial a Jacinto Moral MatellĂĄn.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos:

  • CVE-2022-47553:
    • PuntuaciĂłn base CVSS v3.1: 8,6.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-285: Improper Authorization.
  • CVE-2022-47554:
    • PuntuaciĂłn base CVSS v3.1: 8,2.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-200: Exposure of Sensitive Information to an Unauthorized Actor.
  • CVE-2022-47555:
    • PuntuaciĂłn base CVSS v3.1: 8,5.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-78: Improper Neutralization of Special Elements used in an OS Command.
  • CVE-2022-47556:
    • PuntuaciĂłn base CVSS v3.1: 6,5.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:L /UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-400: Uncontrolled Resource Consumption.
  • CVE-2022-47557:
    • PuntuaciĂłn base CVSS v3.1: 6,1.
    • CĂĄlculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-916: Use of Password Hash With Insufficient Computational Effort.
  • CVE-2022-47558:
    • PuntuaciĂłn base CVSS v3.1: 9,4.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.
    • Tipo de vulnerabilidad: CWE-284: Improper Access Control.
  • CVE-2022-47559:
    • PuntuaciĂłn base CVSS v3.1: 8,6.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-352: Cross-Site Request Forgery (CSRF).
  • CVE-2022-47560:
    • PuntuaciĂłn base CVSS v3.1: 5,7.
    • CĂĄlculo del CVSS: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-319: Cleartext Transmission of Sensitive Information.
  • CVE-2022-47561:
    • PuntuaciĂłn base CVSS v3.1: 7,3.
    • CĂĄlculo del CVSS: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-256: Unprotected Storage of Credentials.
  • CVE-2022-47562:
    • PuntuaciĂłn base CVSS v3.1: 7,5.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-770: Allocation of Resources Without Limits or Throttling.
5 – CrĂ­tica
SoluciĂłn

Los dispositivos afectados se encuentran en el fin de ciclo de su vida Ăștil. Ormazabal recomienda actualizar a los modelos actualizados.

Detalle

Vulnerabilidades que afectan, tanto a ekorCCP como a ekorRCI:

  • CVE-2022-47553: autorizaciĂłn incorrecta, la cual podrĂ­a permitir a un atacante remoto obtener recursos con informaciĂłn sensible para la organizaciĂłn, sin estar autenticado dentro del servidor web.
  • CVE-2022-47554: exposiciĂłn de informaciĂłn sensible, pudiendo permitir a un atacante remoto obtener informaciĂłn crĂ­tica de diferentes archivos .xml, incluyendo archivos .xml conteniendo credenciales, sin estar autenticado dentro del servidor web.
  • CVE-2022-47555: inyecciĂłn de comandos del sistema operativo, lo que podrĂ­a permitir a un atacante autenticado ejecutar comandos, crear nuevos usuarios con privilegios elevados o configurar una puerta trasera.
  • CVE-2022-47557: vulnerabilidad que podrĂ­a permitir a un atacante con acceso a la red donde se encuentra el dispositivo, descifrar las credenciales de usuarios privilegiados, y posteriormente obtener acceso al sistema para ejecutar acciones maliciosas.
  • CVE-2022-47558: los dispositivos son vulnerables debido al acceso al servicio FTP utilizando credenciales por defecto. La explotaciĂłn de esta vulnerabilidad puede permitir a un atacante modificar ficheros crĂ­ticos que podrĂ­an permitir la creaciĂłn de nuevos usuarios, borrar o modificar usuarios existentes, modificar ficheros de configuraciĂłn, instalaciĂłn de rootkits o backdoor.
  • CVE-2022-47559: falta de control del dispositivo sobre las peticiones web, permitiendo a un atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario estĂĄ conectado, afectando a la disponibilidad, privacidad e integridad.
  • CVE-2022-47560: la falta de control de peticiones web en los dispositivos afectados, permite a un potencial atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario estĂĄ logueado.
  • CVE-2022-47561: la aplicaciĂłn web almacena credenciales en texto claro en el archivo “admin.xml”, al que se puede acceder sin iniciar sesiĂłn en el sitio web, lo que podrĂ­a permitir a un atacante obtener credenciales relacionadas con todos los usuarios, incluidos los usuarios administradores, en texto claro, y utilizarlas para ejecutar posteriormente acciones maliciosas.
  • CVE-2022-47562: vulnerabilidad en el servicio RCPbind que se ejecuta en el puerto UDP (111), lo que permite a un atacante remoto crear una condiciĂłn de denegaciĂłn de servicio (DoS).

Vulnerabilidad que afecta solo a ekorRCI:

  • CVE-2022-47556: consumo de recursos no controlado, permitiendo a un atacante con acceso al servidor web con privilegios bajos, enviar peticiones web legĂ­timas continuas a una funcionalidad que no estĂĄ validada correctamente, con el fin de provocar una denegaciĂłn de servicio (DoS) en el dispositivo.
Listado de referencias
Ficha de producto: ekorCCP
Ficha de producto: ekorRCI

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.