Inicio / Alerta Temprana / Avisos Sci / Autorización inadecuada en OZW672 y OZW772 de Siemens

Autorización inadecuada en OZW672 y OZW772 de Siemens

Fecha de publicación: 
06/07/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • OZW672, todas las versiones
  • OZW772, todas las versiones
Descripción: 

El investigador Stefan Viehböck from SEC Consult ha identificado dos vulnerabilidades de autorización inadecuada que afectan a los productos OZW672 y OZW772 de Siemens. Un potencial atacante remoto podría llegar a modificar datos de las medidas o conseguir información mediante un ataque de tipo Man-in-the-Middle.

Solución: 

Siemens recomienda aplicar las siguientes medidas de mitigación:

  • Proteger el acceso a la red de los dispositivos afectados.
  • Deshabilitar el servicio integrado en el puerto 21/TCP en la configuración del dispositivo cambiando el valor de "ACS Access" a "Off". Este cambio soluciona la primera vulnerabilidad.
  • Usar el portal web como se describe en la documentación del producto para todas las aplicaciones. Las conexiones al portal web no están afectadas por la vulnerabilidad 2.
  • Si no se `puede utilizar el portal web, entonces utilizar el servidor web integrado solo en redes confiables.
Detalle: 
  • Autorización inadecuada: Un potencial atacante remoto con acceso al puerto 21/TCP podría acceder o alterar los datos históricos de medida almacenados en el dispositivo. Se ha reservado el identificador CVE-2017-6872 para esta vulnerabilidad.
  • Autorización inadecuada: El acceso mediante el puerto 443/TCP al servidor web integrado podría permitir a un atacante leer y manipular los datos de sesiones TLS mientras realiza un ataque de tipo Man-in-the-middle. Se ha reservado el identificador CVE-2017-6873 para esta vulnerabilidad.