Un nuevo aviso de SCI y una actualización

[Actualización 16/05/2024] Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha14/03/2024
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de los productos:

  • MELSEC-Q Series:
    • Q03UDECPU;
    • Q04/06/10/13/20/26/50/100UDEHCPU;
    • Q03/04/06/13/26UDVCPU;
    • Q04/06/13/26UDPVCPU.
  • MELSEC-L Series:
    • L02/06/26CPU(-P);
    • L26CPU-(P)BT.
Descripción

Anton Dorfman, investigador de Positive Technologies, ha reportado 5 vulnerabilidades críticas que afectan a los módulos MELSEC-Q/L Series CPU de Mitsubishi Electric y cuya explotación podría permitir la divulgación de información o la ejecución remota de código.

Solución

El fabricante publicará una versión correctora del firmware afectado en próximas fechas.

Hasta entonces, recomienda aplicar las siguientes medidas de mitigación:

  • Configurar un firewall, VPN o similar para impedir el acceso no autorizado cuando se requiere acceso a Internet.
  • Hacer uso de los productos potencialmente vulnerables dentro de una red LAN y bloquear el acceso de redes no confiables.
  • Restringir el acceso físico al producto afectado, así como a los PC y a los dispositivos de red que puedan comunicarse con él.
  • Instalar un antivirus en el PC que tenga acceso a los productos afectados.
Detalle
  • Un atacante remoto podría leer información arbitraria de un producto vulnerable o ejecutar código malicioso mediante el envío de un paquete malicioso. Se ha asignado el identificador CVE-2024-0802 para esta vulnerabilidad.
  • Un atacante remoto podría ejecutar código malicioso en un producto afectado a través del envío de un paquete especialmente diseñado. Se han asignado los identificadores CVE-2024-0803, CVE-2024-1915, CVE-2024-1916, CVE-2024-1917 para estas vulnerabilidades.

Múltiples vulnerabilidades en productos de Bosch

Fecha16/05/2024
Importancia5 - Crítica
Recursos Afectados
  • Praesensa Logging Application: versiones 1.91 y anteriores;
  • Praesideo Logging Application: versiones 4.44 y anteriores;
  • Praesideo PC Call Station: versiones 4.44 y anteriores.
Descripción

Bosch ha reportado 2 vulnerabilidades de severidades crítica y alta que podrían permitir a un atacante conseguir acceso al sistema sin autorización y ejecutar código de forma remota.

Solución

Actualizar a las últimas versiones disponibles:

  • Praesensa logging application, versiones 2.00 o superiores;
  • Praesensa logging application, versiones 4.45 o superiores;
  • Praesideo PC Call Station application, versiones 4.45 o superiores.
Detalle
  • La vulnerabilidad CVE-2024-25104 se produce al almacenar información sobre los usuarios o el producto en una ubicación accesible para usuarios sin autorización. Esto podría permitir la ejecución de código arbitrario en el servidor.
  • La vulnerabilidad CVE-2024-25105 se produce debido a que se envía información sensible o crítica para la seguridad en texto plano a través de un canal que puede ser leído por actores no autorizados, por lo que el servicio quede expuesto.