Skip to main content

Software de programación AutomationDirect C-More EA9

diciembre 7, 2024


Ver CSAF

1. RESUMEN EJECUTIVO

  • CVSS v4 8.4
  • ATENCIÓN: Baja complejidad de ataque
  • Proveedor: AutomatizaciónDirecta
  • Equipo: C-Más software de programación EA9
  • Vulnerabilidades: Desbordamiento de búfer basado en pila

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría resultar en corrupción de la memoria; una condición de desbordamiento del búfer puede permitir la ejecución remota de código.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

AutomationDirect informa que las siguientes versiones del software de programación de la serie C-more EA9 se ven afectadas:

  • Software de programación C-More EA9: versión 6.78 y anteriores

3.2 Descripción general de la vulnerabilidad

3.2.1 Desbordamiento de búfer basado en pila CWE-121

Una vulnerabilidad de ejecución remota de código de desbordamiento del búfer basado en la pila de análisis de archivos es una falla de software grave que surge cuando una aplicación o sistema maneja incorrectamente los archivos de entrada, lo que provoca un desbordamiento del búfer basado en la pila. Si se explota, esta vulnerabilidad permite a los atacantes ejecutar código arbitrario de forma remota, lo que a menudo resulta en un compromiso del sistema o un control no autorizado.

CVE-2024-11609 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,8; la cadena del vector CVSS es (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-11609. Se ha calculado una puntuación base de 8,4; la cadena del vector CVSS es (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.2 Desbordamiento de búfer basado en pila CWE-121

Una vulnerabilidad de ejecución remota de código de corrupción de memoria de análisis de archivos ocurre cuando una aplicación no logra manejar datos de manera segura durante el análisis de archivos, lo que resulta en corrupción de memoria. Si se explota, esta vulnerabilidad puede permitir que un atacante ejecute código arbitrario de forma remota, comprometiendo potencialmente el sistema de destino.

CVE-2024-11610 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,8; la cadena del vector CVSS es (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-11610. Se ha calculado una puntuación base de 8,4; la cadena del vector CVSS es (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.3 Desbordamiento de búfer basado en pila CWE-121

Una vulnerabilidad de ejecución remota de código de corrupción de memoria de análisis de archivos ocurre cuando una aplicación no logra manejar datos de manera segura durante el análisis de archivos, lo que resulta en corrupción de memoria. Si se explota, esta vulnerabilidad puede permitir que un atacante ejecute código arbitrario de forma remota, comprometiendo potencialmente el sistema objetivo.

CVE-2024-11611 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,8; la cadena del vector CVSS es (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-11611. Se ha calculado una puntuación base de 8,4; la cadena del vector CVSS es (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

  • SECTORES DE INFRAESTRUCTURA CRÍTICA: Instalaciones comerciales, fabricación crítica, energía, agua y aguas residuales
  • PAÍSES/ÁREAS DESPLEGADAS: Mundial
  • UBICACIÓN DE LA SEDE DE LA EMPRESA: Estados Unidos

3.4 INVESTIGADOR

Andrea Micalizzi, también conocida como rgod (@rgod777), que trabaja con Trend Micro Zero Day Initiative, informó estas vulnerabilidades a AutomationDirect.

4. MITIGACIONES

Para resolver estas vulnerabilidades, AutomationDirect recomienda que los usuarios actualice C-MORE EA9 HMI a V6.79.

Si no es posible realizar una actualización inmediata, AutomationDirect recomienda considerar los siguientes pasos provisionales hasta que se pueda actualizar el software de programación:

  1. Aislar la estación de trabajo de ingeniería:
  • Desconecte la estación de trabajo de redes externas (por ejemplo, Internet o LAN corporativa) para limitar la exposición a amenazas externas.
  • Utilice redes internas dedicadas y seguras o sistemas aislados para comunicarse con dispositivos programables.
  1. Controlar el acceso:
  • Restrinja el acceso físico y lógico a la estación de trabajo únicamente al personal autorizado.
  • Implemente autenticación multifactor (MFA) y políticas de contraseña sólidas para cuentas de usuario.
  1. Implementar listas blancas:
  • Utilice la lista blanca de aplicaciones para permitir que solo se ejecute en la estación de trabajo software confiable y aprobado previamente.
  • Bloquee aplicaciones no autorizadas o que no sean de confianza.
  1. Aplicar medidas de seguridad de terminales:
  • Utilice herramientas antivirus o de detección y respuesta de endpoints (EDR) para monitorear y mitigar amenazas.
  • Asegúrese de que los firewalls basados ​​en host estén configurados correctamente para bloquear el acceso no autorizado.
  1. Monitorear y registrar actividad:
  • Habilite el registro y monitoreo de las actividades del sistema para detectar posibles anomalías o acciones no autorizadas.
  • Revise periódicamente los registros en busca de actividades sospechosas.
  1. Endurecer la estación de trabajo:
  • Elimine o deshabilite servicios y software innecesarios para reducir la superficie de ataque.
  • Implemente configuraciones de seguridad, como deshabilitar la ejecución automática para unidades USB o restringir los privilegios administrativos.
  1. Utilice copia de seguridad y recuperación seguras:
  • Realice periódicamente una copia de seguridad de la estación de trabajo y sus configuraciones en una ubicación segura.
  • Pruebe los procedimientos de recuperación para garantizar un tiempo de inactividad mínimo en caso de un incidente.
  1. Realizar evaluaciones de riesgos periódicas:
  • Evaluar continuamente los riesgos que plantea el software obsoleto y ajustar las medidas de mitigación según sea necesario.

Para obtener más información, consulte la Asesoramiento de seguridad de AutomationDirect.

CISA recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades. Estas vulnerabilidades no se pueden explotar de forma remota.

5. ACTUALIZAR HISTORIAL

  • 5 de diciembre de 2024: Publicación inicial



Source link

Translate »