Summarize this content to 600 words
Ver CSAF
1. RESUMEN EJECUTIVO
CVSS v4 5.6
ATENCIÓN: Baja complejidad de ataque
Proveedor: Ossur
Equipo: Aplicación de lógica móvil
Vulnerabilidades: Exposición de información confidencial del sistema a una esfera de control no autorizada, inyección de comandos, uso de credenciales codificadas
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante acceda no autorizado a información confidencial.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Los siguientes productos Ossur se ven afectados:
Aplicación Logic Mobile: Versiones anteriores a la 1.5.5
3.2 Descripción general de la vulnerabilidad
3.2.1 EXPOSICIÓN DE INFORMACIÓN SENSIBLE DEL SISTEMA A UNA ESFERA DE CONTROL NO AUTORIZADA CWE-497
Se obtuvo del IPA descompilado un conjunto válido de credenciales en un archivo .js y un token estático para la comunicación. Un atacante podría utilizar la información para interrumpir el uso normal de la aplicación cambiando los archivos de traducción y así debilitar la integridad del uso normal.
CVE-2024-53683 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 4,4; la cadena del vector CVSS es (AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-53683. Se ha calculado una puntuación base de 5,6; la cadena del vector CVSS es (CVSS4.0/AV:L/AC:L/AT:P/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N).
3.2.2 NEUTRALIZACIÓN INADECUADA DE ELEMENTOS ESPECIALES UTILIZADOS EN UN COMANDO (‘INYECCIÓN DE COMANDO’) CWE-77
Había varios archivos bash presentes en el directorio privado de la aplicación. Los archivos Bash pueden ser utilizados por sí solos por un atacante que ya tenga acceso completo a la plataforma móvil para comprometer las traducciones de la aplicación.
CVE-2024-54681 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 3,5; la cadena del vector CVSS es (AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-54681. Se ha calculado una puntuación base de 2,0; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N).
3.2.3 USO DE CREDENCIALES CODIFICADAS CWE-798
Las credenciales codificadas se incluyeron como parte del binario de la aplicación. Estas credenciales sirvieron como parte del flujo de autenticación de la aplicación y de la comunicación con la aplicación móvil. Un atacante podría acceder a información no autorizada.
CVE-2024-45832 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 4,3; la cadena del vector CVSS es (AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-45832. Se ha calculado una puntuación base de 2,0; la cadena del vector CVSS es (CVSS4.0/AV:P/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:H/SA:N).
3.3 ANTECEDENTES
SECTORES DE INFRAESTRUCTURA CRÍTICA: Atención sanitaria y salud pública
PAÍSES/ÁREAS DESPLEGADAS: Mundial
UBICACIÓN DE LA SEDE DE LA EMPRESA: Islandia
3.4 INVESTIGADOR
Bryan Riggins informó estas vulnerabilidades a CISA.
4. MITIGACIONES
Ossur recomienda a los usuarios descargar la versión 1.5.5 o posterior de la aplicación móvil. La última versión de la aplicación se puede obtener a través de la tienda de aplicaciones en los respectivos dispositivos móviles. No se requiere ninguna acción adicional por parte de los usuarios.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web del ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades. Estas vulnerabilidades no se pueden explotar de forma remota.
5. ACTUALIZAR HISTORIAL
19 de diciembre de 2024: Publicación inicial