Servidor ThinManager de Rockwell Automation | CISA
1. RESUMEN EJECUTIVO
- Versión 4 9.3 de CVSS
- ATENCIÓN: Explotable de forma remota/Baja complejidad de ataque
- Proveedor:Automatización Rockwell
- Equipo: ThinManager ThinServer
- Vulnerabilidades:Gestión inadecuada de privilegios, asignación incorrecta de permisos para recursos críticos, validación de entrada inadecuada
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante leer archivos arbitrarios y ejecutar código arbitrario con privilegios del sistema.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Las siguientes versiones de Rockwell Automation ThinManager ThinServer, un software de gestión de clientes, se ven afectadas:
- ThinManager ThinServer: versiones 11.1.0 a 11.1.7
- ThinManager ThinServer: versiones 11.2.0 a 11.2.8
- ThinManager ThinServer: versiones 12.0.0 a 12.0.6
- ThinManager ThinServer: versiones 12.1.0 a 12.1.7
- ThinManager ThinServer: versiones 13.0.0 a 13.0.4
- ThinManager ThinServer: versiones 13.1.0 a 13.1.2
- ThinManager ThinServer: versiones 13.2.0 a 13.2.1
3.2 Descripción general de vulnerabilidades
3.2.1 Gestión inadecuada de privilegios CWE-269
Existe una vulnerabilidad en los productos afectados que permite a un agente de amenazas divulgar información confidencial. Un agente de amenazas puede aprovechar esta vulnerabilidad abusando del servicio ThinServer para leer archivos arbitrarios mediante la creación de una unión que apunte al directorio de destino.
CVE-2024-7986 Se le ha asignado a esta vulnerabilidad una puntuación base de CVSS v3.1 de 5,5; la cadena de vector CVSS es (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-7986Se ha calculado una puntuación base de 6,8; la cadena vectorial CVSS es (CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N).
3.2.2 Asignación incorrecta de permisos para recursos críticos CWE-732
Existe una vulnerabilidad de ejecución de código remoto en los productos afectados que permite a un atacante ejecutar código arbitrario con privilegios del sistema. Para aprovechar esta vulnerabilidad, un atacante debe abusar del servicio ThinServer creando una unión y utilizándola para cargar archivos arbitrarios.
CVE-2024-7987 Se le ha asignado a esta vulnerabilidad una puntuación base CVSS v3.1 de 7,8; la cadena de vector CVSS es (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-7987Se ha calculado una puntuación base de 8,5; la cadena vectorial CVSS es (CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:).
3.2.3 Validación de entrada incorrecta CWE-20
Existe una vulnerabilidad de ejecución remota de código en los productos afectados que permite a un actor de amenazas ejecutar código arbitrario con privilegios del sistema. Esta vulnerabilidad existe debido a la falta de una validación adecuada de la entrada de datos, lo que permite que se sobrescriban los archivos.
CVE-2024-7988 Se le ha asignado a esta vulnerabilidad una puntuación base de CVSS v3.1 de 9,8; la cadena de vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-7988Se ha calculado una puntuación base de 9,3; la cadena vectorial CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
- PAÍSES/ZONAS DESPLIEGADAS: Mundial
- UBICACIÓN DE LA SEDE CENTRAL DE LA EMPRESA: Estados Unidos
3.4 INVESTIGADOR
Nicholas Zubrisky (@NZubrisky) de Trend Micro informó estas vulnerabilidades a Rockwell Automation.
4. MITIGACIONES
Rockwell Automation ha creado nuevas versiones de software para solucionar estos problemas. Se recomienda a los usuarios que actualicen su software a una de las siguientes versiones (o más nuevas): 11.1.8, 11.2.9, 12.0.7, 12.1.8, 13.0.5, 13.1.3, 13.2.2
Rockwell Automation alienta a los usuarios con el software afectado a implementar las mejores prácticas de seguridad sugeridas para minimizar el riesgo de vulnerabilidad.
Para obtener más información, consulte la Aviso de seguridad SD1692 de Rockwell Automation.
CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, garantizando que estén No accesible desde internet.
- Ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes comerciales.
- Cuando se requiere acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Además, tenga en cuenta que la seguridad de una VPN depende de los dispositivos conectados.
CISA recuerda a las organizaciones que deben realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también ofrece una sección para Prácticas recomendadas de seguridad de sistemas de control en la página web del ICS en cisa.gov/icsHay varios productos CISA que detallan las mejores prácticas de defensa cibernética disponibles para lectura y descarga, incluidos Mejorar la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web del ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B: Estrategias específicas de detección y mitigación de intrusiones cibernéticas.
Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento, no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.
5. ACTUALIZAR HISTORIAL
- 29 de agosto de 2024: publicación inicial