Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección de comandos del sistema operativo en SGE-PLC1000 de Circutor

Fecha de publicación 08/06/2021
Importancia
5 - Crítica
Recursos Afectados

SGE-PLC1000, versión de firmware 0.9.2b.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo SGE-PLC1000, con el código interno INCIBE-2021-0227, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, con mención especial para Aarón Flecha.

A esta vulnerabilidad se le ha asignado el código CVE-2021-33841. Se ha calculado una puntuación base CVSS v3.1 de 10,0; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución

Actualizar a la última versión de firmware facilitada por el fabricante.

Detalle

El dispositivo SGE-PLC1000, versión de firmware 0.9.2b, maneja de forma inadecuada ciertas peticiones, permitiendo a un atacante remoto inyectar código con máximos privilegios en el sistema operativo.

Esta vulnerabilidad fue reportada a Circutor y ha sido resuelta en versiones de firmware posteriores a la afectada.

CWE-78: neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (inyección de comando de sistema operativo).

Línea temporal:

04/07/2017 – Divulgación de los investigadores.
17/08/2020 – Los investigadores contactan con INCIBE.
26/03/2021 – Circutor confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
08/06/20201 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración