Los investigadores de ciberseguridad han descubierto dos fallas de seguridad críticas que afectan al producto de unidad terminal remota (RTU) Red Lion Sixnet. Una explotación exitosa podría conducir a la ejecución de código con los privilegios más altos.
Esta falla se rastrea como CVE-2023-40151 y CVE-2023-42770, ambos con una calificación de 10,0 en el sistema de puntuación CVSS.
«Esta vulnerabilidad afecta a Red Lion SixTRAK y VersaTRAK RTU y permite que un atacante no autenticado ejecute comandos con privilegios de root», dijeron los investigadores de Claroty Team 82 en un informe publicado el martes.
Sixnet RTU de Red Lion proporciona capacidades avanzadas de automatización, control y recopilación de datos en sistemas de control y automatización industrial principalmente en los sectores de energía, agua, tratamiento de aguas residuales, transporte, servicios públicos y fabricación.
Estos dispositivos industriales se configuran utilizando una utilidad de Windows llamada Sixnet IO Tool Kit, que utiliza el protocolo «universal» patentado de Sixnet utilizado para permitir la interfaz y la comunicación entre el kit y la RTU.
Además de este mecanismo, también hay un sistema de autorización de usuario para admitir la administración de archivos, configurar/recuperar información de la estación, recuperar versiones de arranque y kernel de Linux, etc. a través del protocolo UDP.
Las dos vulnerabilidades identificadas por Claroty se enumeran a continuación.
CVE-2023-42770: Omisión de autenticación resultante de que el software Sixnet RTU escuche en el mismo puerto (número 1594) para UDP y TCP. Solo requiere un desafío de autenticación a través de UDP y acepta mensajes entrantes a través de TCP sin solicitar autenticación. CVE-2023-40151: Vulnerabilidad de ejecución remota de código (UDR) que aprovecha el controlador universal Sixnet Soporte integrado para la ejecución de comandos de shell de Linux para ejecutar código arbitrario con privilegios de root
Como resultado, un atacante podría encadenar ambas fallas para eludir las protecciones de autenticación y ejecutar comandos para ejecutar código de forma remota.
«En las RTU de las series Red Lion SixTRAK y VersaTRAK con usuario autenticado (UDR-A) habilitado, cualquier mensaje Sixnet UDR recibido a través de TCP/IP, la RTU acepta el mensaje sin un desafío de autenticación. Si la autenticación del usuario no está habilitada, el shell puede ejecutar comandos con los privilegios más altos», dijo Red Lion en un aviso publicado en junio de 2025.
Se anima a los usuarios a corregir las dos vulnerabilidades lo antes posible. También se recomienda habilitar la autenticación de usuario en la RTU Red Lion y bloquear el acceso a la RTU afectada a través de TCP.
Según una alerta emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en noviembre de 2023, esta falla afecta a los siguientes productos:
ST-IPm-8460: Versión de firmware 6.0.202 o posterior ST-IPm-6350: Versión de firmware 4.9.114 o posterior VT-mIPm-135-D: Versión de firmware 4.9.114 o posterior VT-mIPm-245-D: Versión de firmware 4.9.114 o posterior VT-IPm2m-213-D: Versión de firmware 4.9.114 o posterior VT-IPm2m-113-D: Versión de firmware 4.9.114 o posterior
«La RTU de Red Lion es prominente en muchos entornos de automatización industrial, y si un atacante puede obtener acceso al dispositivo y ejecutar comandos como root, el potencial de interrupción o daño del proceso es muy alto», dijo Claroty.
Source link
