Se han revelado detalles técnicos sobre una serie de vulnerabilidades de seguridad que afectan el sistema de administración de red basado en la web MXview de Moxa, algunas de las cuales podrían ser encadenadas por un adversario no autenticado para lograr la ejecución remota de código en servidores sin parches.
Las cinco debilidades de seguridad «podrían permitir que un atacante remoto no autenticado ejecute código en la máquina de alojamiento con los privilegios más altos disponibles: NT AUTHORITYSYSTEM», investigador de seguridad de Claroty, Noam Moshe. dicho en un informe publicado esta semana.
Moxa MXvista está diseñado para configurar, monitorear y diagnosticar dispositivos de red en redes industriales. Las fallas, que afectan a las versiones 3.x a 3.2.2 del software de gestión de red, fueron subsanadas en versión 3.2.4 o superior tras un proceso de divulgación coordinado en octubre de 2021.
«La explotación exitosa de estas vulnerabilidades puede permitir que un atacante cree o sobrescriba archivos críticos para ejecutar código, obtener acceso al programa, obtener credenciales, deshabilitar el software, leer y modificar datos de otro modo inaccesibles, permitir conexiones remotas a canales de comunicación interna o interactuar y use MQTT de forma remota», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho en un aviso.
MQTT se refiere a un protocolo de mensajería que facilita la comunicación asincrónica remota, lo que permite la transferencia de mensajes hacia y desde diferentes componentes en un entorno MXview.
La lista de fallas es la siguiente:
- CVE-2021-38452 (Puntuación CVSS: 7,5): una vulnerabilidad de cruce de ruta en la aplicación, que permite el acceso o la sobrescritura de archivos críticos utilizados para ejecutar código
- CVE-2021-38454 (Puntuación CVSS: 10,0) – Un servicio mal configurado que permite conexiones remotas a MQTT, lo que hace posible interactuar de forma remota y utilizar el canal de comunicación
- CVE-2021-38456 (Puntuación CVSS: 9,8) – Uso de contraseñas codificadas
- CVE-2021-38458 (Puntuación CVSS: 9,8) – Un problema con la neutralización incorrecta de elementos especiales que podría conducir a la ejecución remota de comandos no autorizados
- CVE-2021-38460 (Puntuación CVSS: 7,5) – Un caso de fuga de contraseña que puede permitir que un atacante obtenga credenciales
Tres de las fallas antes mencionadas: CVE-2021-38452, CVE-2021-38454 y CVE-2021-38458, podrían unirse para lograr la ejecución de código remoto preautenticado en instancias MXView vulnerables con privilegios de SISTEMA.
En un escenario de ataque hipotético ideado por Claroty, se podría abusar de CVE-2021-38452 para obtener la contraseña MQTT de texto sin formato leyendo el archivo de configuración gateway-upper.ini, y luego aprovechando CVE-2021-38454 para inyectar MQTT no autorizado. mensajes, desencadenando la ejecución de código a través de la inyección de comandos en el servidor.
«Un atacante inyecta mensajes maliciosos directamente al corredor MQTT, sin pasar por todas las validaciones de entrada realizadas por el servidor, y logra la ejecución remota de código arbitrario a través de la vulnerabilidad de inyección de comandos del sistema operativo», explicó Moshe.
