Vulnerabilidade em destaque: várias vulnerabilidades no Sealevel SeaConnect
A Cisco Talos descobriu recentemente várias vulnerabilidades no dispositivo de borda de internet das coisas SeaConnect da Sealevel Systems Inc. – muitas das quais podem permitir que um invasor conduza um ataque man-in-the-middle ou execute código remoto no dispositivo alvo.
Francesco Benvenuto e Matt Wiseman da Cisco Talos descobriram essas vulnerabilidades. Blog de Jon Munshaw.
O SeaConnect 370W é um dispositivo de borda conectado por WiFi comumente usado em ambientes de sistema de controle industrial (ICS) que permite aos usuários monitorar e controlar remotamente o status dos processos de E/S do mundo real. Este dispositivo oferece controle remoto via MQTT, Modbus TCP e uma interface específica do fabricante conhecida como “API SeaMAX”.Existem três vulnerabilidades de estouro de buffer — TALOS-2021-1389 (CVE-2021-21960 e CVE-2021-21961) e TALOS-2021-1390 (CVE-2021-21962) — que existem neste dispositivo que podem permitir que um invasor executar código arbitrário na máquina de destino. Essas vulnerabilidades têm pontuações de gravidade de 10,0, 10,0 e 9,0, respectivamente, tornando-as as mais graves das vulnerabilidades relatadas.
Outra vulnerabilidade, TALOS-2021-1388 (CVE-2021-21959), torna mais fácil para um adversário realizar um ataque man-in-the-middle entre o dispositivo e o serviço de nuvem SeaConnect e, eventualmente, assumir o controle total do dispositivo. Ao realizar um ataque man-in-the-middle, o adversário poderia explorar qualquer um dos TALOS-2021-1391 (CVE-2021-21963), TALOS-2021-1395 (CVE-2021-21968), TALOS-2021-1396 (CVE-2021-21969 e CVE-2021-21970) ou TALOS-2021-1397 (CVE-2021-21971) para realizar uma variedade de ações maliciosas, incluindo sobrescrever arquivos arbitrariamente ou causar uma gravação fora dos limites.
O TALOS-2021-1394 (CVE-2021-21967) também exige que o invasor realize espionagem man-in-the-middle para eventualmente causar uma negação de serviço no dispositivo, enquanto o TALOS-2021-1392 (CVE-2021-21964 e CVE-2021-21965) também pode causar um DoS após o envio de pacotes especialmente criados para o dispositivo de destino.
Os pesquisadores do Talos também descobriram uma vulnerabilidade em uma biblioteca Paho MQTT Client-C desatualizada da Eclipse Foundation Embedded na qual o SeaConnect 370W depende. O TALOS-2021-1406 (CVE-2021-41036) pode permitir que um adversário acione uma gravação fora dos limites no dispositivo. A Eclipse Foundation e o SeaConnect reconheceram e corrigiram esse problema.
A Cisco Talos trabalhou com a Sealevel Systems para garantir que todos os outros problemas sejam resolvidos e uma atualização esteja disponível para os clientes afetados, tudo em conformidade com a política de divulgação de vulnerabilidades da Cisco .
Os usuários são aconselhados a atualizar o Sealevel Systems Inc. SeaConnect 370W executando a versão 1.3.34, que foi testada e confirmada como afetada por essas vulnerabilidades.
As seguintes regras do SNORTⓇ detectarão tentativas de exploração contra essas vulnerabilidades: 58386, 58414 – 58417, 58458, 58461 – 58463. Regras adicionais podem ser lançadas no futuro e as regras atuais estão sujeitas a alterações, dependendo de informações adicionais sobre vulnerabilidades. Para obter as informações de regras mais atuais, consulte o centro de gerenciamento do Cisco Secure Firewall ou Snort.org.
