Especialistas en ciberseguridad reportan la detección de al menos seis vulnerabilidades de seguridad en las soluciones Emerson Rosemount X-STREAM, un analizador de gas para entornos industriales y con capacidades de conexión WiFi. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas robar información confidencial e incluso tomar control completo del sistema objetivo.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes acorde al Common Vulnerability Scoring System (CVSS).
CVE-2021-27457: Esta falla existe debido a un algoritmo de cifrado débil para el almacenamiento de datos confidenciales en los productos afectados. Los actores de amenazas remotos podrían obtener acceso no autorizado a información confidencial en el sistema objetivo.
Esta es una falla de severidad media y recibió un puntaje de 6.9/10 en la escala CVSS.
CVE-2021-27459: La validación inadecuada de archivos durante el proceso de carga en el servidor web permitiría a los atacantes autenticados cargar un archivo malicioso y ejecutarlo en el servidor de forma remota.
La vulnerabilidad recibió un puntaje de 8.1/10 y su explotación pondría en riesgo el sistema afectado.
CVE-2021-27461: Un error de validación de entrada al procesar secuencias transversales de directorio permitiría a los atacantes remotos enviar solicitudes HTTP especialmente diseñadas y leer archivos arbitrarios en el sistema.
Esta vulnerabilidad recibió un puntaje de 6.9/10, señalan los especialistas en ciberseguridad.
CVE-2021-27463: Las aplicaciones afectadas utilizan cookies persistentes donde el atributo de cookie de sesión no se invalida correctamente. Los hackers maliciosos remotos podrían obtener acceso no autorizado a la información confidencial almacenada en el sistema objetivo explotando esta vulnerabilidad.
La falla es considerada de severidad media y recibió un puntaje de 4.9/10.
CVE-2021-27465: La desinfección insuficiente de los datos proporcionados por el usuario permitiría a los actores de amenazas engañar a la víctima, enviando un enlace especialmente diseñado con el que buscarán ejecutar código HTML y scripts arbitrarios en el navegador del usuario.
La falla recibió un puntaje de 5.6/10 y su explotación exitosa permitiría a los hackers remotos robar información confidencial, realizar ataques de phishing e incluso modificar la apariencia de una plataforma en línea.
CVE-2021-27467: La interfaz web del producto afectado permite ataques de enrutamiento de clics o el registro de teclas de forma arbitraria, lo que permitiría el robo de información confidencial.
La vulnerabilidad recibió un puntaje CVSS de 4/10.
Según el reporte, las fallas residen en los siguientes productos:
- Rosemount X-STREAM Gas Analyzer: todas las versiones
- X-STREAM XEGP: todas las versiones
- X-STREAM XEGK: todas las versiones
- X-STREAM XEFD: todas las versiones
- X-STREAM XEXF: todas las versiones
Si bien la mayoría de las fallas pueden ser explotadas por actores de amenazas remotos no autenticados, los expertos en ciberseguridad señalan que hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware asociada a estos ataques.
No obstante, es importante señalar que no hay parches de seguridad o soluciones alternativas disponibles, por lo que se recomienda a los administradores mantenerse al tanto de cualquier nuevo anuncio de los fabricantes. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).