Pesquisadores em cibersegurança identificaram duas vulnerabilidades críticas nos produtos Red Lion Sixnet, RTUs (Remote Terminal Units) cujas falhas, se exploradas com sucesso, podem permitir a execução de código com privilégios de administrador.
As vulnerabilidades, catalogadas como
CVE-2023-40151
e
CVE-2023-42770
, receberam a nota máxima 10,0 na escala CVSS, indicando risco crítico.
Segundo a equipe 82 da Claroty, especializada em segurança industrial, “essas falhas afetam as RTUs Red Lion SixTRAK e VersaTRAK, permitindo que invasores não autenticados executem comandos com privilégios root”.
As RTUs Sixnet da Red Lion são amplamente utilizadas em sistemas de automação industrial, principalmente nos setores de energia, tratamento de água e esgoto, transporte, utilities e manufatura.
Esses equipamentos oferecem recursos avançados de controle e aquisição de dados, sendo configurados por meio da ferramenta para Windows Sixnet IO Tool Kit. A comunicação entre o kit e os dispositivos ocorre via protocolo proprietário Sixnet "Universal".
Além disso, um sistema de permissões gerencia operações como controle de arquivos, leitura de informações da estação e versões do kernel Linux, utilizando o protocolo UDP.
-
CVE-2023-42770
: falha de bypass de autenticação causada pelo fato de o software das RTUs Sixnet escutar simultaneamente a mesma porta 1594 para UDP e TCP. No protocolo UDP há um desafio de autenticação; no TCP, as mensagens são aceitas sem qualquer verificação.
-
CVE-2023-40151
: vulnerabilidade de execução remota de código que explora o suporte embutido do driver Sixnet Universal (UDR) para execução de comandos shell em Linux, permitindo execução arbitrária de código com privilégios root.
Explorando essas duas falhas em sequência, um atacante pode ignorar a autenticação e executar comandos remotamente no dispositivo.
Em comunicado divulgado em junho de 2023, a Red Lion alertou: “Nas RTUs SixTRAK e VersaTRAK com autenticação de usuários habilitada (UDR-A), qualquer mensagem UDR recebida via TCP/IP será aceita sem desafio de autenticação. Se a autenticação de usuário não estiver ativada, o shell pode executar comandos com privilégios máximos.” Para mitigar os riscos, é fundamental que os usuários apliquem imediatamente os patches disponibilizados.
Recomenda-se também ativar a autenticação de usuários nas RTUs da Red Lion e bloquear o acesso via TCP a essas unidades.
Segundo alerta da agência norte-americana CISA, publicado em novembro de 2023, as falhas afetam os seguintes produtos e versões de firmware:
- ST-IPm-8460: firmware 6.0.202 e posteriores
- ST-IPm-6350: firmware 4.9.114 e posteriores
- VT-mIPm-135-D: firmware 4.9.114 e posteriores
- VT-mIPm-245-D: firmware 4.9.114 e posteriores
- VT-IPm2m-213-D: firmware 4.9.114 e posteriores
- VT-IPm2m-113-D: firmware 4.9.114 e posteriores
A Claroty ressaltou a gravidade: “As RTUs da Red Lion são amplamente usadas em ambientes industriais. Um invasor com acesso a esses dispositivos e capacidade para executar comandos com privilégios root pode causar desde interrupções de processos até danos significativos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...