Los investigadores de ciberseguridad han revelado dos fallas de seguridad críticas que afectan Valiente Rojo Sixnet productos de dispositivo terminal remota (RTU) que, si se explotan con éxito, podrían dar como resultado la ejecución de código con los privilegios más altos.
Las deficiencias, rastreadas como CVE-2023-40151 y CVE-2023-42770entreambos tienen una calificación de 10.0 en el sistema de puntuación CVSS.
«Las vulnerabilidades afectan a las RTU Red Lion SixTRAK y VersaTRAK y permiten que un atacante no autenticado ejecute comandos con privilegios de root», dijeron los investigadores de Claroty Team 82 en un referencia publicado el martes.
Las RTU Sixnet de Red Lion brindan capacidades avanzadas de automatización, control y adquisición de datos en sistemas de control y automatización industrial, principalmente en los sectores de energía, agua y tratamiento de aguas residuales, transporte, servicios públicos y fabricación.
Estos dispositivos industriales se configuran utilizando una utilidad de Windows citación Sixnet IO Tool Kit, con un protocolo «universal» patentado de Sixnet que se utiliza para interconectar y permitir la comunicación entre el kit y las RTU.
Todavía existe un sistema de permisos de legatario encima de este mecanismo para permitir la compañía de archivos, configurar/obtener información de la época, obtener el kernel de Linux y la traducción de inicio, entre otros, a través del protocolo UDP.
Las dos vulnerabilidades identificadas por Claroty se enumeran a continuación:
- CVE-2023-42770 – Una omisión de autenticación que surge como resultado de que el software Sixnet RTU audición el mismo puerto (número 1594) en UDP y TCP que solo solicita un desafío de autenticación a través de UDP, mientras acepta el mensaje entrante a través de TCP sin solicitar ninguna autenticación.
- CVE-2023-40151 – Una vulnerabilidad de ejecución remota de código que aprovecha el soporte integrado de Sixnet Universal Driver (UDR) para la ejecución de comandos de shell de Linux para ejecutar código abusivo con privilegios de root.
Como resultado, un atacante podría encadenar ambas fallas para eludir las protecciones de autenticación para ejecutar comandos y conquistar la ejecución remota de código.
«Las RTU de las series Red Lion SixTRAK y VersaTRAK con usuarios autenticados habilitados (UDR-A), cualquier mensaje Sixnet UDR recibido a través de TCP/IP, la RTU aceptará el mensaje sin desafío de autenticación», dijo Red Lion en un aviso publicado en junio de 2025. «Cuando la autenticación de legatario no está habilitada, el shell puede ejecutar comandos con los privilegios más altos».
Se recomienda a los usuarios que apliquen los parches para las dos vulnerabilidades lo ayer posible. Todavía se recomienda habilitar la autenticación de legatario en Red Lion RTU y cercar el llegada a través de TCP a las RTU afectadas.
Segun una alerta emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en noviembre de 2023, las fallas afectan a los siguientes productos:
- ST-IPm-8460: Firmware 6.0.202 y posterior
- ST-IPm-6350: Interpretación de firmware 4.9.114 y posteriores
- VT-mIPm-135-D: Interpretación de firmware 4.9.114 y posteriores
- VT-mIPm-245-D: Interpretación de firmware 4.9.114 y posteriores
- VT-IPm2m-213-D: Interpretación de firmware 4.9.114 y posteriores
- VT-IPm2m-113-D: Interpretación de firmware 4.9.114 y posteriores
«Las RTU de Red Lion son prominentes en muchas configuraciones de automatización industrial, y un atacante con llegada a los dispositivos y la capacidad de ejecutar comandos en la raíz presenta importantes posibilidades de interrupción o daño del proceso», señaló Claroty.
