Alertas CISA sobre Vulnerabilidades Críticas de Segurança em Sistemas de Controle Industrial
23 de Março de 2023

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) divulgou oito avisos sobre sistemas de controle industrial (ICS) na terça-feira, alertando sobre falhas críticas que afetam equipamentos da Delta Electronics e Rockwell Automation.

Isso inclui 13 vulnerabilidades de segurança no software de monitoramento de dispositivos em tempo real da Delta Electronics, o InfraSuite Device Master.

Todas as versões anteriores à 1.0.5 são afetadas pelos problemas.

"A exploração bem-sucedida dessas vulnerabilidades poderia permitir que um invasor não autenticado obtivesse acesso a arquivos e credenciais, escalonasse privilégios e executasse arbitrariamente código remotamente", disse a CISA.

No topo da lista está a CVE-2023-1133 (pontuação CVSS: 9,8), uma falha crítica que surge do fato de que o InfraSuite Device Master aceita pacotes UDP não verificados e desserializa o conteúdo, permitindo que um invasor remoto não autenticado execute código arbitrário.

Duas outras falhas de desserialização, a CVE-2023-1139 (pontuação CVSS: 8,8) e a CVE-2023-1145 (pontuação CVSS: 7,8), também podem ser utilizadas para obter execução remota de código, alertou a CISA.

Piotr Bazydlo e um pesquisador de segurança anônimo foram creditados com a descoberta e a notificação das deficiências à CISA.

Outro conjunto de vulnerabilidades se relaciona com o ThinServer da Rockwell Automation e afeta as seguintes versões do software de gerenciamento de clientes finos e protocolo de desktop remoto (RDP): 6.x - 10.x, 11.0.0 - 11.0.5, 11.1.0 - 11.1.5, 11.2.0 - 11.2.6, 12.0.0 - 12.0.4, 12.1.0 - 12.1.5 e 13.0.0 - 13.0.1.

As questões mais graves são duas falhas de travessia de caminho rastreadas como CVE-2023-28755 (pontuação CVSS: 9,8) e CVE-2023-28756 (pontuação CVSS: 7,5) que poderiam permitir que um invasor remoto não autenticado enviasse arquivos arbitrários para o diretório onde o ThinServer.exe está instalado.

Ainda mais preocupante, o adversário poderia usar a CVE-2023-28755 para sobrescrever arquivos executáveis existentes com versões trojanizadas, o que poderia levar a execução remota de código.

"A exploração bem-sucedida dessas vulnerabilidades poderia permitir que um invasor potencialmente executasse código remotamente no sistema/dispositivo de destino ou travasse o software", observou a CISA.

Os usuários são aconselhados a atualizar para as versões 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 e 13.0.2 para mitigar ameaças potenciais.

As versões ThinManager ThinServer 6.x - 10.x estão obsoletas, exigindo que os usuários atualizem para uma versão suportada.

Como soluções alternativas, também é recomendado que o acesso remoto à porta 2031/TCP seja limitado a clientes finos conhecidos e servidores ThinManager.

A divulgação chega mais de seis meses depois que a CISA alertou sobre uma vulnerabilidade de estouro de buffer de alta gravidade no ThinManager ThinServer da Rockwell Automation ( CVE-2022-38742 , pontuação CVSS: 8,1) que poderia resultar em execução remota de código arbitrário.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...