Administrador mySCADA myPRO | CISA

noviembre 24, 2024

1. RESUMEN EJECUTIVO

CVSS v4 10.0
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: miSCADA
Equipo: miPRO
Vulnerabilidades: Inyección de comandos del sistema operativo, autenticación incorrecta, falta de autenticación para funciones críticas, recorrido de ruta.

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información confidencial.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Los siguientes productos mySCADA se ven afectados:

myPRO Manager: Versiones anteriores a la 1.3
myPRO Runtime: Versiones anteriores a 9.2.1

3.2 Descripción general de la vulnerabilidad

3.2.1 Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘inyección de comando del sistema operativo’) CWE-78

Un parámetro dentro de un comando no valida adecuadamente la entrada dentro de myPRO Manager, lo que podría ser aprovechado por un atacante remoto no autenticado para inyectar comandos arbitrarios del sistema operativo.

CVE-2024-47407 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 10,0; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-47407. Se ha calculado una puntuación base de 10,0; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H).

3.2.2 Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘inyección de comando del sistema operativo’) CWE-78

Existe una vulnerabilidad de inyección de comandos del sistema operativo dentro de myPRO Manager. Un atacante remoto no autenticado puede explotar un parámetro dentro de un comando para inyectar comandos arbitrarios del sistema operativo.

Saber más Aviso de seguridad de GitLab (AV24-355) - Centro Canadiense de Seguridad Cibernética

CVE-2024-52034 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 10,0; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-52034. Se ha calculado una puntuación base de 10,0; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H).

3.2.3 Autenticación incorrecta CWE-287

La aplicación web utiliza un mecanismo de autenticación débil para verificar que una solicitud proviene de un recurso autenticado y autorizado.

CVE-2024-45369 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8,1; la cadena del vector CVSS es (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-45369. Se ha calculado una puntuación base de 9,2; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.4 Autenticación faltante para función crítica CWE-306

La interfaz administrativa escucha de forma predeterminada en todas las interfaces de un puerto TCP y no requiere autenticación cuando se accede a ella.

CVE-2024-47138 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-47138. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.5 Recorrido de ruta: ‘…/…//’ CWE-35

El backend no verifica suficientemente el parámetro de nombre de archivo controlado por el usuario, lo que hace posible que un atacante realice un ataque de recorrido de ruta y recupere archivos arbitrarios del sistema de archivos.

CVE-2024-50054 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,5; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Saber más Revisión de la actividad de CERT.LV del segundo trimestre de 2024

También se ha calculado una puntuación CVSS v4 paraCVE-2024-50054. Se ha calculado una puntuación base de 8,7; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
PAÍSES/ÁREAS DESPLEGADAS: Mundial
UBICACIÓN DE LA SEDE DE LA EMPRESA: República Checa

3.4 INVESTIGADOR

Michael Heinzl informó de estas vulnerabilidades a CISA.

4. MITIGACIONES

mySCADA recomienda actualizar a las últimas versiones.

Administrador mySCADA PRO 1.3
Tiempo de ejecución mySCADA PRO 9.2.1

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:

Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web del ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

Saber más CERT.at - Mostrar

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias específicas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.

5. ACTUALIZAR HISTORIAL

21 de noviembre de 2024: Publicación inicial

Source link