Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en DeltaV DCS Workstations de Emerson

Fecha de publicación 17/08/2018
Importancia
5 - Crítica
Recursos Afectados
  • DeltaV versiones v11.3.1, v12.3.1, v13.3.0, v13.3.1, R5
Descripción

Younes Dragoni de Nozomi Networks, Ori Perez de CyberX y Emerson han reportado estas vulnerabilidades cuya explotación exitosa podría permitir a un atacante, la ejecución de código arbitrario o la inyección y propagación de malware entre estaciones de trabajo.

Solución

Emerson recomienda a los usuarios aplicar los parches a los productos afectados. Los parches de software están disponibles para los usuarios con acceso al Portal de soporte de Guardian de Emerson en https://guardian.emersonprocess.com/. Emerson recomienda consultar el artículo Knowledge Base AK-1800- 0042 (DSN18003) para obtener más información.

Las vulnerabilidades CVE-2018-14797, CVE-2018-14795 y CVE-2018-14791 no pueden ser explotadas si se implementan medidas de lista blanca, ya que se evitaría que se sobrescribieran los archivos.

Para limitar la exposición a estas y otras vulnerabilidades, se recomienda implementar y configurar sistemas DeltaV y componentes relacionados como se describe en el Manual de seguridad de DeltaV, que está disponible en el Portal de soporte de Guardian de Emerson.

Detalle
  • Un archivo DLL especialmente diseñado se puede colocar en la ruta de búsqueda y cargarse como una DLL interna y válida, lo que puede permitir la ejecución de código arbitrario. Se ha asignado el identificador CVE-2018-14797 para esta vulnerabilidad.
  • Una validación incorrecta de la ruta podría permitir a un atacante reemplazar ficheros ejecutables. Se ha asignado el identificador CVE-2018-14795 para esta vulnerabilidad.
  • Los usuarios sin privilegios de administración son capaces de cambiar ejecutables y librerías en los productos afectados. Se ha asignado el identificador CVE-2018-14791 para esta vulnerabilidad.
  • Un puerto de comunicación abierto podría ser explotado para la ejecución de código arbitrario. Se ha asignado el identificador CVE-2018-14793 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias