Vulnerabilidades de ejecución remota de código (RCE) y carga de archivos arbitrarios en producto Rockwell Automation

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades con PoC pública que afectan a ThinManager de Rockwell Automation, que permitirían a un atacante realizar ejecución remota de código (RCE), cargar archivos arbitrarios, entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

• CVE-2023-28755, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad del tipo path traversal se debe a una falla de seguridad en el control de datos de entrada en ThinManager de Rockwell Automation. Esto permitiría a un atacante remoto no autenticado a través de la sobreescritura de archivos ejecutables existentes, realizar ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2023-28756, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad del tipo path traversal se debe a una falla de seguridad en el control de datos de entrada de mensajes del tipo 8 en ThinManager de Rockwell Automation. Esto permitiría a un atacante remoto no autenticado descargar archivos arbitrarios en la unidad de disco donde está instalado ThinServer.exe y poner en peligro el sistema afectado. 

• CVE-2023-28757, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad del tipo heap-based buffer overflow con PoC pública se debe a una sobrecarga de datos dentro de un mensaje en ThinManager de Rockwell Automation. Esto permitiría a un atacante remoto no autenticado a través del acceso no autorizado al sistema, bloquear ThinServer.exe. 

Las versiones afectadas son: 

• Rockwell Automation ThinManager ThinServer, versiones 11.0.0 a 11.0.5. 
• Rockwell Automation ThinManager ThinServer, versiones 11.1.0 a 11.1.5. 
• Rockwell Automation ThinManager ThinServer, versiones 11.2.0 a 11.2.6. 
• Rockwell Automation ThinManager ThinServer, versiones 12.0.0 a 12.0.4. 
• Rockwell Automation ThinManager ThinServer, versiones 12.1.0 a 12.1.5. 
• Rockwell Automation ThinManager ThinServer, versiones 13.0.0 a 13.0.1. 

Recomendamos acceder a las actualizaciones correspondientes proporcionados por el fabricante en los siguientes enlaces: 

• Rockwell Automation ThinManager ThinServer – Update 

Referencias: 

• https://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-productos-thinmanager-rockwell-automation 
• https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-06 

• https://es-la.tenable.com/security/research/tra-2023-13
• https://downloads.thinmanager.com/Version/13