Fallos de seguridad críticos descubiertos en los servicios DCS y QuickBlox

Se han descubierto múltiples vulnerabilidades de seguridad en varios servicios, incluido el sistema de control distribuido (DCS) Honeywell Experion y QuickBlox, que, si se explotan con éxito, podrían resultar en un grave compromiso de los sistemas afectados.

Apodado Crit.IX, las nueve fallas en la plataforma DCS de Honeywell Experion permiten "la ejecución remota de código no autorizada, lo que significa que un atacante tendría el poder de hacerse cargo de los dispositivos y alterar el funcionamiento del controlador DCS, al tiempo que oculta las alteraciones de la estación de trabajo de ingeniería que administra el controlador", dijo Armis en un comunicado compartido con The Hacker News.

Dicho de otra manera, los problemas se relacionan con la falta de cifrado y mecanismos de autenticación adecuados en un protocolo propietario llamado Control Data Access (CDA) que se utiliza para comunicarse entre los servidores Experion y los controladores C300, lo que permite efectivamente que un actor de amenazas se haga cargo de los dispositivos y altere el funcionamiento del controlador DCS.

"Como resultado, cualquier persona con acceso a la red puede hacerse pasar por el controlador y el servidor", dijo Tom Gol, CTO de investigación en Armis. "Además, hay fallas de diseño en el protocolo CDA que dificultan el control de los límites de los datos y pueden conducir a desbordamientos de búfer".

La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA), en un aviso propio, dijo que siete de las nueve fallas tienen un puntaje CVSS de 9.8 sobre 10, mientras que las otras dos tienen una calificación de gravedad de 7.5. "La explotación exitosa de estas vulnerabilidades podría causar una condición de denegación de servicio, permitir la escalada de privilegios o permitir la ejecución remota de código", advirtió.

En un desarrollo relacionado, Check Point y Claroty descubrieron fallas importantes en una plataforma de chat y videollamadas conocida como QuickBlox que se usa ampliamente en telemedicina, finanzas y dispositivos inteligentes de IoT. Las vulnerabilidades podrían permitir a los atacantes filtrar la base de datos de usuarios de muchas aplicaciones populares que incorporan el SDK y la API de QuickBlox.

Esto incluye a Rozcom, un proveedor israelí que vende intercomunicadores para casos de uso residencial y comercial. Un examen más detallado de su aplicación móvil condujo al descubrimiento de errores adicionales (CVE-2023-31184 y CVE-2023-31185) que hicieron posible descargar todas las bases de datos de usuarios, hacerse pasar por cualquier usuario y realizar ataques completos de adquisición de cuentas.

"Como resultado, pudimos hacernos cargo de todos los dispositivos de intercomunicación Rozcom, lo que nos dio un control total y nos permitió acceder a las cámaras y micrófonos del dispositivo, intervenir su alimentación, abrir puertas administradas por los dispositivos y más", dijeron los investigadores.

También se revelaron esta semana fallas en la ejecución remota de código que afectan a los puntos de acceso de Aerohive/Extreme Networks que ejecutan versiones de HiveOS/Extreme IQ Engine anteriores a 10.6r2 y la biblioteca de código abierto Ghostscript (CVE-2023-36664, puntuación CVSS: 9.8 ) que podrían resultar en la ejecución de comandos arbitrarios.

"Ghostscript es un paquete ampliamente utilizado pero no necesariamente ampliamente conocido", dijo el investigador de Kroll Dave Truman. "Se puede ejecutar de muchas maneras diferentes, desde abrir un archivo en un editor de imágenes vectoriales como Inkscape hasta imprimir un archivo a través de CUPS. Esto significa que una explotación de una vulnerabilidad en Ghostscript podría no limitarse a una aplicación o ser inmediatamente obvia".

Las deficiencias de seguridad también se han hecho públicas en dos plataformas de código abierto basadas en Golang, Owncast (CVE-2023-3188, puntuación CVSS: 6.5) y EaseProbe (CVE-2023-33967, puntuación CVSS: 9.8 ) que podrían allanar el camino para la falsificación de solicitudes del lado del servidor (SSRF) y los ataques de inyección SQL, respectivamente.

Completando la lista está el descubrimiento de credenciales codificadas en enrutadores de puerta de enlace DSL Technicolor TG670 que podrían ser armadas por un usuario autenticado para obtener un control administrativo total de los dispositivos.

"Un atacante remoto puede usar el nombre de usuario y la contraseña predeterminados para iniciar sesión como administrador del dispositivo enrutador", dijo CERT / CC en un aviso. "Esto permite al atacante modificar cualquiera de las configuraciones administrativas del enrutador y usarlo de maneras inesperadas".

Se recomienda a los usuarios que desactiven la administración remota en sus dispositivos para evitar posibles intentos de explotación y consulten con los proveedores de servicios para determinar si hay parches y actualizaciones apropiados disponibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta