Inyección de comandos del sistema operativo en SGE-PLC1000 de Circutor
SGE-PLC1000, versión de firmware 0.9.2b.
INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo SGE-PLC1000, con el código interno INCIBE-2021-0227, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, con mención especial para Aarón Flecha.
A esta vulnerabilidad se le ha asignado el código CVE-2021-33841. Se ha calculado una puntuación base CVSS v3.1 de 10,0; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
Actualizar a la última versión de firmware facilitada por el fabricante.
El dispositivo SGE-PLC1000, versión de firmware 0.9.2b, maneja de forma inadecuada ciertas peticiones, permitiendo a un atacante remoto inyectar código con máximos privilegios en el sistema operativo.
Esta vulnerabilidad fue reportada a Circutor y ha sido resuelta en versiones de firmware posteriores a la afectada.
CWE-78: neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (inyección de comando de sistema operativo).
Línea temporal:
04/07/2017 – Divulgación de los investigadores.
17/08/2020 – Los investigadores contactan con INCIBE.
26/03/2021 – Circutor confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
08/06/20201 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.