Se
ha reportado una vulnerabilidad en la interfaz web de B+B SmartWorx que podría
permitir a un atacante remoto sin autenticación realizar operaciones
administrativas en la red.
El B+B SmartWorx VESP211 serial
server permite conectar dispositivos RS- 232 , RS -422 o RS -485 a redes
Ethernet, permitiendo al dispositivo en cuestión funcionar como un nodo de la
red. Es un producto especialmente adaptado para entornos industriales, con un
diseño compacto y muy resistente, ampliamente usado en sectores de
telecomunicación, transporte y energía.
El problema, con CVE-2016-2275,
un atacante remoto sin autenticación podría saltar restricciones de seguridad y
realizar acciones administrativas a través de código JavaScript especialmente
manipulado. El interface web usa JavaScript para comprobar la autenticación del
cliente, redirigiendo los usuarios no autorizados a una página de login, en
este caso, el atacante no autenticado podría acceder a paginas no autorizadas
al interceptar o cambiar determinadas peticiones. Dicha vulnerabilidad ha sido
reportada por el investigador independiente, Maxim Rupp.
Este problema afecta a los
siguientes modelos y versiones:
- Modelo: VESP211-EU Firmware Version: 1.7.2
- Modelo: VESP211-232 Firmware Version: 1.7.2
- Modelo: VESP211-232 Firmware Version: 1.5.1
Se recomienda tomar las
siguientes medidas de seguridad:
- Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
- Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
- Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:
B+B SmartWorx VESP211 Authentication Bypass
Vulnerability Advisory (ICSA-16-049-01)
Advantech B+B SmartWorx
Juan Sánchez
No hay comentarios:
Publicar un comentario