Skip to main content

Rockwell Automation FactoryTalk ThinManager | CISA

noviembre 3, 2024


Ver CSAF

1. RESUMEN EJECUTIVO

  • CVSS v4 9.3
  • ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
  • Proveedor: Automatización Rockwell
  • Equipo: FactoryTalk ThinManager
  • Vulnerabilidades: Autenticación faltante para función crítica, lectura fuera de límites

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante enviar mensajes manipulados al dispositivo, lo que daría como resultado la manipulación de la base de datos o una condición de denegación de servicio.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Las siguientes versiones de productos Rockwell Automation FactoryTalk se ven afectadas:

  • ThinManager: Versiones 11.2.0 a 11.2.9
  • ThinManager: Versiones 12.0.0 a 12.0.7
  • ThinManager: Versiones 12.1.0 a 12.1.8
  • ThinManager: Versiones 13.0.0 a 13.0.5
  • ThinManager: Versiones 13.1.0 a 13.1.3
  • ThinManager: Versiones 13.2.0 a 13.2.2
  • ThinManager: Versión 14.0.0

3.2 Descripción general de la vulnerabilidad

3.2.1 FALTA AUTENTICACIÓN PARA FUNCIÓN CRÍTICA CWE-306

Existe una vulnerabilidad de autenticación en el producto afectado. La vulnerabilidad podría permitir que un actor de amenazas con acceso a la red envíe mensajes manipulados al dispositivo, lo que podría resultar en una manipulación de la base de datos.

CVE-2024-10386 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-10386. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.2 FUERA DE LÍMITES LEER CWE-125

Existe una vulnerabilidad de denegación de servicio en el producto afectado. La vulnerabilidad podría permitir que un actor de amenazas con acceso a la red envíe mensajes manipulados al dispositivo, lo que resultaría en una condición de denegación de servicio.

CVE-2024-10387 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,5; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-10387. Se ha calculado una puntuación base de 8,7; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

  • SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
  • PAÍSES/ÁREAS DESPLEGADAS: Mundial
  • UBICACIÓN DE LA SEDE DE LA EMPRESA: Estados Unidos

3.4 INVESTIGADOR

Tenable Network Security informó estas vulnerabilidades a Rockwell Automation.

4. MITIGACIONES

Rockwell Automation ha proporcionado una solución para las versiones afectadas en el Sitio de descarga de FactoryTalk ThinManager.

Rockwell Automation alienta a los usuarios del software afectado a aplicar estas mitigaciones de riesgos si es posible.

  • Implemente refuerzo de red para dispositivos ThinManager limitando las comunicaciones a TCP 2031 solo a los dispositivos que necesitan conexión a ThinManager.
  • Para obtener información sobre cómo mitigar los riesgos de seguridad en los sistemas de control de automatización industrial, se recomienda a los usuarios implementar las recomendaciones sugeridas por Rockwell Automation. mejores prácticas de seguridad para minimizar el riesgo de vulnerabilidad.

Para obtener más información, consulte Boletín de seguridad de Rockwell Automation.

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:

  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
  • Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.

5. ACTUALIZAR HISTORIAL

  • 31 de octubre de 2024: Publicación inicial



Source link

Translate »