ICS-CERT informuje o nowych podatnościach w produktach firmy Delta Electronics. (P23-015)

cert.pse-online.pl 1 rok temu

Produkt	InfraSuite Device Master – wersja 00.00.01a I wcześniejsze
Numer CVE	CVE-2022-41778
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master wersje 00.00.01a i wcześniejsze deserializują dane dostarczane przez użytkownika przez port serwisowy Device-DataCollect bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji.

Numer CVE	CVE-2022-38142
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują dane dostarczone przez użytkownika przez port serwisowy Device-Gateway bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji.

Numer CVE	CVE-2022-41779
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują pakiety sieciowe bez odpowiedniej weryfikacji. jeżeli urządzenie połączy się z serwerem kontrolowanym przez atakującego, osoba atakująca może wysłać złośliwie spreparowane pakiety, które zostaną zdeserializowane i wykonane, co prowadzi do zdalnego wykonania kodu.

Numer CVE	CVE-2022-41657
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze umożliwiają atakującemu dane już zserializowane w pamięci do wykorzystania w programowalnych interfejsach aplikacji (API) do obsługi plików. Mogłoby to tworzyć dowolne pliki, które mogłyby zostać użyte w operacjach API i ostatecznie doprowadzić do zdalnego wykonania kodu.

Numer CVE	CVE-2022-41772
Krytyczność	9.8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze niewłaściwie obsługiwały archiwa .ZIP zawierające znaki używane w przemierzaniu ścieżki. To przechodzenie ścieżki może spowodować zdalne wykonanie kodu.

Numer CVE	CVE-2022-40202
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Funkcja kopii zapasowej bazy danych w Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie ma odpowiedniego uwierzytelnienia. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty, które w przypadku deserializacji mogą aktywować kod operacji dla funkcji planowania tworzenia kopii zapasowych bez uwierzytelniania. Ta funkcja umożliwia użytkownikowi wyznaczenie wszystkich argumentów funkcji i pliku do wykonania. Może to umożliwić atakującemu rozpoczęcie dowolnego nowego procesu i zdalne wykonanie kodu.

Numer CVE	CVE-2022-41688
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada odpowiedniego uwierzytelnienia dla funkcji tworzących i modyfikujących grupy użytkowników. Osoba atakująca może dostarczyć złośliwe obiekty serializowane, które mogą uruchamiać te funkcje bez uwierzytelniania, aby utworzyć nowego użytkownika i dodać go do grupy administratorów.

Numer CVE	CVE-2022-41644
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada uwierzytelnienia dla funkcji zmieniającej uprawnienia grupy. Osoba atakująca może to wykorzystać do utworzenia stanu odmowy usługi lub eskalacji własnych uprawnień.

Numer CVE	CVE-2022-41776
Krytyczność	7,5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Opis	Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom wyzwolenie metody WriteConfiguration, co może umożliwić atakującemu dostarczenie nowych wartości dla plików konfiguracyjnych użytkownika, takich jak UserListInfo.xml. Może to prowadzić do zmiany haseł administracyjnych.

Numer CVE	CVE-2022-41629
Krytyczność	7,5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Opis	Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom dostęp do punktu końcowego oczyszczania, co może umożliwić osobie atakującej pobranie dowolnego pliku z katalogu „RunningConfigs”. Atakujący mógłby następnie przeglądać i modyfikować pliki konfiguracyjne, takie jak UserListInfo.xml, co pozwoliłoby mu zobaczyć istniejące hasła administracyjne.

Aktualizacja	TAK
Link	https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-07

Produkt	DIAEnergie wersje przed v1.9.01.002
Numer CVE	CVE-2022-41701
Krytyczność	8,7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PutShift.

Numer CVE	CVE-2022-40965
Krytyczność	8,7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PostEnergyType.

Numer CVE	CVE-2022-41555
Krytyczność	8,7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PutLineMessageSetting.

Numer CVE	CVE-2022-41702
Krytyczność	8,7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API InsertReg.

Numer CVE	CVE-2022-41651
Krytyczność	8,7/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API SetPF.

Numer CVE	CVE-2022-40965
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na iniekcję SQL, która istnieje w CheckIoTHubNameExisted. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.

Numer CVE	CVE-2022-41133
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na iniekcję SQL, która istnieje w GetDIAE_line_message_settingsListParameters. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.

Numer CVE	CVE-2022-41773
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Produkt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na wstrzyknięcie SQL, które istnieje w CheckDIACloud. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.

Aktualizacja	TAK
Link	https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-06