Jos Wetzels

**Nome do software vulnerável e versões afetadas** Versões do CODESYS Development System V3 anteriores à V3.5.18.40 **Descrição** O problema está relacionado à força de criptografia inadequada, permitindo que um invasor local não autenticado acesse e manipule o código do aplicativo de inicialização criptografado. Também está associado ao uso de algoritmos criptográficos defeituosos, que podem ser explorados por um invasor remoto para descriptografar e modificar o código carregado, adivinhando chaves de sessão. **Recomendações** Para as versões do CODESYS Development System V3 anteriores à V3.5.18.40, atualize para a versão V3.5.18.40 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao aplicativo de inicialização criptografado até que um patch esteja disponível. Além disso, evite usar os algoritmos criptográficos defeituosos no ambiente de desenvolvimento para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Protocolo MDLC da Motorola até 02/05/2022 **Descrição** O problema está relacionado ao tratamento da integridade das mensagens pelo protocolo MDLC da Motorola. Ele suporta três modos de segurança: Simples, Criptografia Legada e Nova Criptografia. No modo Criptografia Legada, o tráfego é criptografado por meio da cifra de bloco Tiny Encryption Algorithm (TEA) no modo ECB, que não oferece integridade de mensagem e proporciona confidencialidade reduzida acima do nível do bloco. Isso é demonstrado por um ataque ECB Penguin contra quaisquer cifras de bloco. A vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. **Recomendações** Para o protocolo MDLC da Motorola até 02/05/2022, considere desativar o modo Criptografia Legada até que um patch esteja disponível, pois ele utiliza a cifra de bloco vulnerável Tiny Encryption Algorithm (TEA) no modo ECB. Restrinja o acesso ao tráfego criptografado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controladores e placas de E/S do Sistema de Controle Distribuído (DCS) Emerson DeltaV até 29/04/2022 **Descrição** O problema diz respeito ao uso indevido de senhas no Sistema de Controle Distribuído Emerson DeltaV. O acesso a operações privilegiadas na interface TELNET da porta de manutenção nos nós da série M e SIS é controlado por senhas de utilitário geradas usando um algoritmo determinístico e inseguro. Esse algoritmo utiliza um único valor de semente com menos de 16 bits de entropia, facilitando que um invasor reconstrua as senhas e obtenha acesso a operações de manutenção privilegiadas. A vulnerabilidade está relacionada ao uso de algoritmos criptográficos defeituosos, o que pode permitir que um invasor remoto acesse a interface do sistema. **Recomendações** Para controladores e placas de E/S do Sistema de Controle Distribuído (DCS) Emerson DeltaV até 29/04/2022, considere desativar a interface TELNET na porta de manutenção como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso à porta de manutenção para impedir o acesso não autorizado até que um algoritmo seguro de geração de senhas seja implementado.

**Nome do software vulnerável e versões afetadas** RTUs Emerson ControlWave ‘Next Generation’ até 02/05/2022 **Descrição** A vulnerabilidade está relacionada à autenticação insuficiente de dados, o que pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. As RTUs Emerson ControlWave ‘Next Generation’ tratam incorretamente a integridade do firmware, utilizando o protocolo BSAP-IP para transmitir atualizações de firmware. Essas atualizações são fornecidas como arquivos CAB contendo uma imagem binária do firmware, mas carecem de autenticação, como assinatura de firmware, e dependem apenas de checksums inseguros para verificações de integridade. **Recomendações** Para as RTUs Emerson ControlWave ‘Next Generation’ até 02/05/2022, considere desativar o uso do protocolo BSAP-IP para atualizações de firmware até que um mecanismo de autenticação seguro seja implementado. Restrinja o acesso às atualizações de firmware para minimizar o risco de exploração. Evite usar somas de verificação inseguras para verificações de integridade; em vez disso, implemente um mecanismo seguro de assinatura de firmware para garantir a autenticidade e a integridade das imagens de firmware. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Linhas de produtos Emerson ROC e FloBoss RTU até 02/05/2022 **Descrição** O problema está relacionado a operações inseguras do sistema de arquivos nas linhas de produtos Emerson ROC e FloBoss RTU. Esses produtos utilizam o protocolo ROC para comunicações entre um terminal mestre e RTUs, especificamente através das portas 4000/TCP e 5000/TCP. O código de operação (Opcode) 203 do protocolo permite que um terminal mestre execute operações arbitrárias de leitura, gravação e exclusão de arquivos e diretórios no sistema de arquivos flash. Isso poderia potencialmente permitir que um invasor remoto executasse código arbitrário devido ao gerenciamento inseguro de privilégios. **Recomendações** Para as linhas de produtos Emerson ROC e FloBoss RTU até 02/05/2022, considere desativar o uso do Opcode 203 no protocolo ROC até que uma atualização segura esteja disponível. Restrinja o acesso ao sistema de arquivos flash para minimizar o risco de exploração. Evite usar o protocolo ROC para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Honeywell Experion PKS Safety Manager, versões anteriores a 06/05/2022 **Descrição** A vulnerabilidade está relacionada à falta de autenticação nos protocolos proprietários utilizados pelo Safety Manager do Sistema de Controle Distribuído (DCS) Honeywell Experion PKS, incluindo o Experion TCP (51000/TCP) e o Safety Builder (51010/TCP). Isso permite que um invasor execute as funcionalidades desejadas sem autenticação, o que pode levar a impactos adversos, como a manipulação do estado do controlador, da configuração, da lógica, dos arquivos e da E/S. Um invasor poderia emitir comandos de manipulação de E/S, comandos de leitura/gravação de arquivos, comandos de partida/parada do controlador, comandos de download/upload de lógica, comandos de leitura de arquivos e comandos de alteração da hora do sistema. Um fator atenuante é que algumas dessas funcionalidades exigem que a chave física do Safety Manager esteja na posição correta. **Recomendações** Para versões do Honeywell Experion PKS Safety Manager anteriores a 06/05/2022, considere desativar os protocolos Experion TCP e Safety Builder até que um patch esteja disponível. Restrinja o acesso às portas afetadas (51000/TCP e 51010/TCP) para minimizar o risco de exploração. Como solução alternativa temporária, certifique-se de que a chave física do Safety Manager não esteja na posição que permite a invocação de funcionalidades críticas.

**Nome do software vulnerável e versões afetadas** Honeywell Experion PKS Safety Manager versão 5.02 **Descrição** O problema está relacionado ao uso de credenciais codificadas no Honeywell Experion PKS Safety Manager. O componente afetado é o bootloader POLO. Um invasor com acesso à interface serial pode utilizar essas credenciais para controlar o processo de inicialização e manipular a imagem do firmware não autenticada. O impacto potencial é a capacidade de manipular o firmware. O Honeywell Experion PKS Safety Manager utiliza a interface serial DCOM-232/485 para fins de gerenciamento de firmware e, durante a inicialização, expõe o bootloader Enea POLO por meio dessa interface. O acesso à configuração de inicialização é controlado por meio de credenciais codificadas no firmware do Safety Manager. **Recomendações** Para o Honeywell Experion PKS Safety Manager versão 5.02, considere restringir o acesso à interface serial para minimizar o risco de exploração. Como solução temporária, limite o acesso físico ao dispositivo e certifique-se de que quaisquer sistemas conectados, como EWS ou gateways serial-para-Ethernet, estejam seguros. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Controladores lógicos programáveis Honeywell em versões anteriores à versão corrigida Versões do protocolo IC da Trend Controls anteriores a 06/05/2022 **Descrição** O problema está relacionado à transmissão de informações confidenciais, incluindo códigos PIN, nomes de usuário e senhas, em texto simples. Isso permite que um invasor com capacidade de interceptação passiva obtenha essas credenciais. O protocolo afetado é utilizado para troca de informações e fins de automação em controladores de automação predial. Um invasor que obtenha as credenciais pode realizar ações de engenharia confidenciais, como manipular a estratégia do controlador ou as configurações. Se as credenciais comprometidas forem reutilizadas para outras aplicações, isso poderia facilitar o movimento lateral. **Recomendações** Para controladores lógicos programáveis da Honeywell, atualize para uma versão que corrija o problema de transmissão em texto simples. Para o protocolo IC da Trend Controls, atualize para uma versão lançada após 06/05/2022 para resolver a transmissão em texto simples de credenciais. Como solução alternativa temporária, considere restringir o acesso ao protocolo Inter-Controller (IC) para minimizar o risco de exploração. Evite usar os parâmetros `username` e `password` no endpoint da API afetado até que o problema seja resolvido. Restrinja o acesso ao `protocolo Inter-Controller (IC)` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Honeywell Experion PKS Safety Manager, versões até 06/05/2022 **Descrição** O problema está relacionado à verificação insuficiente da autenticidade dos dados no protocolo Safety Builder utilizado pelos controladores Honeywell Experion PKS Safety Manager. Isso permite que um invasor execute código de máquina arbitrário no módulo da CPU do controlador, levando potencialmente à execução remota de código e à negação de serviço. Os componentes afetados incluem o Honeywell FSC runtime e o Honeywell Safety Builder. Um invasor capaz de se comunicar com um controlador Safety Manager via protocolo Safety Builder pode executar código arbitrário sem restrições, permitindo a manipulação oculta das operações de controle. Um fator atenuante é que algumas funcionalidades exigem que a chave física do Safety Manager esteja na posição correta. **Recomendações** Para as versões do Honeywell Experion PKS Safety Manager até 06/05/2022, considere desativar o protocolo Safety Builder até que um patch esteja disponível para impedir a execução de código arbitrário. Restrinja o acesso ao módulo de CPU do controlador para minimizar o risco de exploração. Evite usar o protocolo Safety Builder para fins de engenharia até que o problema seja resolvido. Como solução alternativa temporária, certifique-se de que a chave física do Safety Manager esteja na posição correta para mitigar parte da funcionalidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Honeywell Experion LX até 06/05/2022 **Descrição** O problema diz respeito à ausência de um recurso de autenticação no protocolo EpicMo do Honeywell Experion LX Control Data Access (CDA), utilizado para fins de diagnóstico e manutenção de dispositivos. Esse protocolo, caracterizado como Honeywell Control Data Access (CDA) EpicMo (55565/TCP), carece de funcionalidade de autenticação, permitindo que qualquer invasor capaz de se comunicar com as portas em questão invoque a funcionalidade desejada. O impacto potencial inclui manipulação de firmware e negação de serviço, já que um invasor poderia emitir comandos de download de firmware ou reiniciar dispositivos. **Recomendações** Para o Honeywell Experion LX até 06/05/2022, considere desativar o protocolo EpicMo (55565/TCP) até que um patch ou correção esteja disponível para mitigar o risco de manipulação de firmware e negação de serviço. Restrinja o acesso ao protocolo EpicMo do Control Data Access (CDA) para minimizar o risco de exploração. Evite usar o protocolo para fins de diagnóstico e manutenção de dispositivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Honeywell Experion PKS Safety Manager versão 5.02 **Descrição** O problema está relacionado à verificação insuficiente da autenticidade dos dados, permitindo uma possível manipulação do firmware. O componente afetado é a funcionalidade de atualização do firmware. Um invasor com acesso à interface serial pode utilizar credenciais codificadas para o bootloader POLO para controlar o processo de inicialização e enviar imagens de firmware maliciosas, possibilitando a manipulação do firmware, a execução remota de código e impactos de negação de serviço. A vulnerabilidade pode ser explorada por um invasor com acesso à interface serial, seja por meio de acesso físico, uma estação de trabalho de engenharia comprometida ou um gateway serial-para-Ethernet exposto. Um fator atenuante é que é necessária uma reinicialização do Safety Manager para iniciar uma atualização de firmware, o que normalmente é feito por meio de controles físicos no dispositivo. **Recomendações** Para o Honeywell Experion PKS Safety Manager versão 5.02, considere desativar a funcionalidade de atualização de firmware até que um patch esteja disponível. Restrinja o acesso à interface serial e ao bootloader POLO para minimizar o risco de exploração. Evite usar credenciais codificadas para o bootloader POLO. Como solução temporária, considere implementar medidas de segurança adicionais para impedir o acesso não autorizado à interface serial e à estação de trabalho de engenharia. No momento, não há informações sobre uma versão mais recente que contenha uma correção para o

**Nome do software vulnerável e versões afetadas** Saia Burgess Controls (SBC) PCD até 06/05/2022 **Descrição** O problema está relacionado ao uso de um algoritmo inseguro para o hash de senhas na implementação do protocolo S-Bus dos controladores Saia Burgess Controls (SBC) PCD. Isso permite que um invasor contorne a autenticação interceptando credenciais com hash e encontrando colisões, obtendo assim acesso a funcionalidades de engenharia confidenciais, como o upload ou download de lógica de controle e a manipulação da configuração do controlador. O componente afetado é a autenticação S-Bus (5050/UDP). **Recomendações** Para os controladores PCD da Saia Burgess Controls (SBC) até 06/05/2022, considere desativar o protocolo S-Bus ou restringir o acesso a funcionalidades de engenharia confidenciais até que um algoritmo de hash seguro seja implementado. Como solução alternativa temporária, evite usar a mensagem `write byte` para fornecer versões com hash das senhas. Restrinja o acesso ao componente de autenticação S-Bus para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Saia Burgess Controls (SBC) PCD até 06/05/2022 **Descrição** A vulnerabilidade diz respeito a uma falha de autenticação no protocolo S-Bus utilizado pelos controladores PCD da Saia Burgess Controls (SBC). O protocolo S-Bus, que opera na porta UDP 5050, é utilizado para diversos fins de engenharia e permite a configuração de senha para restringir o acesso a funcionalidades confidenciais. No entanto, o mecanismo de autenticação, baseado em uma lista de permissões de MAC/IP com um tempo limite de inatividade, pode ser contornado por meio da falsificação do tráfego UDP. Um invasor capaz de monitorar o tráfego pode explorar essa vulnerabilidade enviando mensagens arbitrárias usando o MAC/IP de um cliente autenticado, obtendo assim acesso a funções de engenharia confidenciais, como o upload ou download de lógica de controle e a manipulação de configurações do controlador. **Recomendações** Para os PCD da Saia Burgess Controls (SBC) até 06/05/2022, considere restringir o acesso ao protocolo S-Bus (5050/UDP) para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, restrinja o uso do protocolo `S-Bus` apenas aos fins de engenharia necessários. Além disso, monitore o tráfego de rede em busca de sinais de tentativas de spoofing e implemente medidas de segurança adicionais para impedir o acesso não autorizado aos controladores. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Honeywell ControlEdge até a R151.1 **Descrição** O problema está relacionado ao uso de credenciais codificadas nos controladores lógicos programáveis (PLCs) Honeywell ControlEdge. Isso poderia permitir que um invasor remoto obtivesse privilégios elevados. Os componentes afetados são caracterizados como SSH, e o impacto potencial inclui execução remota de código, manipulação de configuração e negação de serviço. A linha de produtos PLC e RTU do Honeywell ControlEdge expõe um serviço SSH na porta 22/TCP, onde o login como root é permitido com credenciais codificadas para o usuário root que não mudam automaticamente após o primeiro comissionamento. Essas credenciais codificadas concedem a um invasor acesso a um shell root no PLC/RTU. **Recomendações** Para as versões do Honeywell ControlEdge até a R151.1, considere desativar o serviço SSH na porta 22/TCP até que um patch esteja disponível para impedir a execução remota de código, a manipulação de configuração e a negação de serviço. Restrinja o acesso ao usuário root para minimizar o risco de exploração. Evite usar as credenciais codificadas para o serviço SSH até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Motorola ACE1000 RTU até 02/05/2022 **Descrição** O problema está relacionado ao uso de credenciais SSH codificadas. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. É provável que a chave privada SSH codificada seja usada por padrão devido aos scripts de inicialização, como /etc/init.d/sshd service, que só geram uma nova chave se não houver nenhum arquivo de chave privada. **Recomendações** Para o Motorola ACE1000 RTU até 02/05/2022, considere regenerar a chave privada SSH para evitar o uso da chave codificada. Como solução alternativa temporária, restrinja o acesso ao serviço SSH até que uma solução mais permanente possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Motorola ACE1000 RTU até 02/05/2022 **Descrição** O problema diz respeito ao uso de credenciais padrão para cinco contas SSH pré-configuradas, incluindo `root`, `abuilder`, `acelogin`, `cappl` e `ace`. Essas contas são usadas para controlar o acesso à interface SSH na porta 22/TCP, que é utilizada para operações de manutenção remota e transferência de arquivos via SFTP. Embora a documentação do ACE1000 mencione as contas `root`, `abuilder` e `acelogin` e recomende que os usuários alterem as credenciais padrão, as contas `cappl` e `ace` permanecem sem documentação, tornando improvável que suas credenciais sejam alteradas. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. **Recomendações** Para o RTU Motorola ACE1000 até 02/05/2022, considere alterar as credenciais padrão de todas as cinco contas SSH pré-configuradas, incluindo `root`, `abuilder`, `acelogin`, `cappl` e `ace`, para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso à interface SSH na porta 22/TCP para minimizar o risco de exploração. Além disso, revise a documentação do ACE1000 e certifique-se de que todos os usuários estejam cientes da necessidade de alterar as credenciais padrão de todas as contas, incluindo as contas `cappl` e `ace`, que não estão documentadas.

**Nome do software vulnerável e versões afetadas** RTUs Motorola ACE1000 até 02/05/2022 **Descrição** O problema está relacionado ao tratamento inadequado da integridade das aplicações nas RTUs Motorola ACE1000. Esses dispositivos permitem a instalação de aplicações personalizadas por meio do software STS, do kit de ferramentas C ou do ACE1000 Easy Configurator. As imagens de aplicativos são carregadas por meio da interface de usuário da Web no caso do Easy Configurator, ou transferidas e instaladas usando SFTP/SSH no caso do kit de ferramentas C. As imagens de aplicativos carecem de autenticação, como assinatura de firmware, e dependem apenas de checksums inseguros para verificações de integridade. Isso pode ser explorado por um invasor remoto para executar código arbitrário. **Recomendações** Para RTUs Motorola ACE1000 até 02/05/2022, considere desativar o recurso de instalação de aplicativos personalizados por meio do software STS, do kit de ferramentas C ou do ACE1000 Easy Configurator até que um patch esteja disponível. Restrinja o acesso à interface de usuário da Web e ao SFTP/SSH para minimizar o risco de exploração. Evite usar checksums inseguros para verificações de integridade e implemente um mecanismo de autenticação seguro, como assinatura de firmware, para garantir a integridade das imagens de aplicativos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PLCs JTEKT TOYOPUC em versões anteriores a 29/04/2022 **Descrição** O problema está relacionado à autenticação insuficiente de dados nos controladores lógicos programáveis. Isso permite que um invasor remoto execute código arbitrário. Os controladores utilizam o protocolo CMPLink/TCP não autenticado para fins de engenharia, incluindo o download de projetos e da lógica de controle. A lógica de controle baixada para o PLC não é autenticada criptograficamente, permitindo que um invasor execute código de máquina arbitrário no módulo da CPU do PLC. No caso do PC10G-CPU, e provavelmente para outros módulos de CPU da família TOYOPUC, o processador carece de proteção de memória ou recursos de separação de privilégios, dando ao invasor controle total sobre a CPU. **Recomendações** Para versões de PLCs JTEKT TOYOPUC anteriores a 29/04/2022, considere desativar o protocolo CMPLink/TCP até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de download da lógica de controle para minimizar o risco de execução de código arbitrário. Como solução temporária, limite o uso do módulo de CPU do PLC apenas às operações essenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PLCs JTEKT TOYOPUC até 29/04/2022 **Descrição** O problema está relacionado ao tratamento inadequado da autenticação nos PLCs JTEKT TOYOPUC. Eles utilizam o protocolo CMPLink/TCP, que é configurável nas portas 1024-65534 tanto em TCP quanto em UDP, para diversos fins de engenharia, como iniciar e parar o PLC, baixar e enviar projetos e alterar configurações. Esse protocolo carece de recursos de autenticação, permitindo que qualquer invasor capaz de se comunicar com a porta em questão invoque a funcionalidade desejada. A vulnerabilidade está associada à verificação insuficiente dos dados de autenticação, o que pode ser explorado por um invasor remoto para executar código arbitrário. **Recomendações** Para os PLCs JTEKT TOYOPUC até 29/04/2022, considere desativar o protocolo CMPLink/TCP até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso às portas configuráveis 1024-65534 em TCP ou UDP para minimizar o risco de acesso não autorizado. Como solução temporária, limite as funcionalidades que podem ser invocadas por meio do protocolo CMPLink/TCP para reduzir o impacto potencial do problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Linha de RTUs Motorola MOSCAD e ACE até 02/05/2022 **Descrição** O problema diz respeito à omissão de um requisito de autenticação na linha de RTUs Motorola MOSCAD e ACE. Esses dispositivos possuem módulos IP Gateway que permitem a comunicação entre redes Motorola Data Link Communication (MDLC) e redes TCP/IP utilizando o protocolo proprietário IPGW na porta 5001/TCP. Esse protocolo carece de recursos de autenticação, permitindo que qualquer invasor capaz de se comunicar com a porta invoque a funcionalidade desejada. **Recomendações** Para as RTUs das linhas MOSCAD e ACE da Motorola até 02/05/2022, considere desativar o protocolo IPGW na porta 5001/TCP como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos módulos IP Gateway para minimizar o risco de exploração. Evite usar o protocolo IPGW até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.