Fuji Electric Monitouch V-SFT | CISA
1. RESUMEN EJECUTIVO
- CVSS v4 8.5
- ATENCIÓN: Baja complejidad de ataque
- Proveedor: Fuji eléctrico
- Equipo: Monitouch V-SFT
- Vulnerabilidades: Escritura fuera de límites, desbordamiento de búfer basado en pila
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Las siguientes versiones de Monitouch V-SFT de Fuji Electric, un software de configuración de pantalla, se ven afectadas:
- Monitouch V-SFT: Versiones anteriores a 6.2.3.0
3.2 Descripción general de la vulnerabilidad
3.2.1 ESCRITURA FUERA DE LÍMITES CWE-787
El producto afectado es vulnerable a una escritura fuera de límites debido a una confusión de tipos, lo que podría resultar en la ejecución de código arbitrario.
CVE-2024-5271 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,8; la cadena del vector CVSS es (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-5271. Se ha calculado una puntuación base de 8,5; la cadena del vector CVSS es (CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.2 DESBORDAMIENTO DE BÚFER BASADO EN PILA CWE-121
El producto afectado es vulnerable a un desbordamiento del búfer basado en pila, lo que podría permitir a un atacante ejecutar código arbitrario.
CVE-2024-34171 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,8; la cadena del vector CVSS es (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-34171. Se ha calculado una puntuación base de 8,5; la cadena del vector CVSS es (CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Manufactura Crítica, Energía
- PAÍSES/ÁREAS DESPLEGADAS: Mundial
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Japón
3.4 INVESTIGADOR
kimiy, en colaboración con Trend Micro Zero Day Initiative, informó estas vulnerabilidades a CISA.
4. MITIGACIONES
Fuji Electric recomienda a los usuarios actualizar el producto para Monitouch V-SFT v6.2.3.0.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
- Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades. Estas vulnerabilidades no se pueden explotar de forma remota.
5. ACTUALIZAR HISTORIAL
- 30 de mayo de 2024: Publicación inicial