Se insta a los usuarios de Moxa a actualizar MXview a la versión 3.2.4 o superior para remediar cinco vulnerabilidades descubiertas por Team82 de Claroty.
Los problemas afectan las versiones 3.x a 3.2.2 del sistema de administración de red basado en la web MXview de la compañía taiwanesa y, en conjunto, ICS-CERT calificó las vulnerabilidades con 10.0, su puntaje de criticidad más alto.
Según Team82, un atacante no autenticado que encadene con éxito dos o más de estas vulnerabilidades podría lograr la ejecución remota de código en cualquier servidor MXview sin parches.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un aviso de ICS sobre las vulnerabilidades en octubre, señalando que la explotación exitosa de estas vulnerabilidades «puede permitir que un atacante cree o sobrescriba archivos críticos para ejecutar código, obtener acceso al programa, obtener credenciales , deshabilite el software, lea y modifique datos que de otro modo serían inaccesibles, permita conexiones remotas a canales de comunicación internos o interactúe y use MQTT de forma remota».
El sistema de administración de red basado en la web fue diseñado para monitorear y administrar dispositivos basados en Moxa. Team 82 reveló cinco vulnerabilidades (CVE-2021-38452, CVE-2021-38456, CVE-2021-38460, CVE-2021-38458 y CVE-2021-38454) en la plataforma MXView. La empresa también proporcionó una prueba de concepto que muestra cómo funcionaría un ataque.
También: SAP lanza parches para vulnerabilidades de ICMAD, problemas de log4j, más
El CTO de Bugcrowd, Casey Ellis, dijo que es «un conjunto impactante de vulnerabilidades».
«La inyección de comandos a través de MQTT es una técnica interesante y rara vez discutida y solo demuestra la creciente complejidad de los vectores de entrada que puede tener cualquier aplicación», dijo Ellis. «La desinfección adecuada es importante en todas partes, no solo en las entradas en tiempo real que están expuestas directamente a los usuarios».
MXview de Moxa es un jugador importante en el mercado de ICS y de IoT en general con su enfoque en redes convergentes (pocos proveedores de administración de redes se enfocan en este espacio) y, por lo tanto, la importancia de estas vulnerabilidades es alta, según Bud Broomhead, CEO de Viakoo.
Broomhead agregó que con las organizaciones de fabricación y de línea de negocios que las utilizan, no todos sus usuarios finales tendrán los recursos o el conocimiento de TI para remediar estas vulnerabilidades rápidamente, lo que hace que las vulnerabilidades de alta gravedad sean mucho más peligrosas.
«Estas vulnerabilidades, sin duda, tendrán un gran impacto. Las 5 vulnerabilidades tienen una puntuación de gravedad de 10/10, y debido a que se centran en redes convergentes, aumenta la probabilidad de que los actores de amenazas las exploten para moverse lateralmente a las redes corporativas. «, dijo Broomhead MarketingyPublicidad.es.
«Además, estas vulnerabilidades permiten explotar la administración de privilegios; las vulnerabilidades en la administración de privilegios casi siempre se considerarán un riesgo de alto nivel, especialmente dado el daño que pueden causar los ciberdelincuentes con privilegios de nivel raíz, como colocar malware, controlar infraestructura crítica o cubriendo las huellas de un actor de amenazas».