Autorización inadecuada en OZW672 y OZW772 de Siemens
Fecha de publicación:
06/07/2017
Importancia:
4 -
Alta
Recursos afectados:
- OZW672, todas las versiones
- OZW772, todas las versiones
Descripción:
El investigador Stefan Viehböck from SEC Consult ha identificado dos vulnerabilidades de autorización inadecuada que afectan a los productos OZW672 y OZW772 de Siemens. Un potencial atacante remoto podría llegar a modificar datos de las medidas o conseguir información mediante un ataque de tipo Man-in-the-Middle.
Solución:
Siemens recomienda aplicar las siguientes medidas de mitigación:
- Proteger el acceso a la red de los dispositivos afectados.
- Deshabilitar el servicio integrado en el puerto 21/TCP en la configuración del dispositivo cambiando el valor de "ACS Access" a "Off". Este cambio soluciona la primera vulnerabilidad.
- Usar el portal web como se describe en la documentación del producto para todas las aplicaciones. Las conexiones al portal web no están afectadas por la vulnerabilidad 2.
- Si no se `puede utilizar el portal web, entonces utilizar el servidor web integrado solo en redes confiables.
Detalle:
- Autorización inadecuada: Un potencial atacante remoto con acceso al puerto 21/TCP podría acceder o alterar los datos históricos de medida almacenados en el dispositivo. Se ha reservado el identificador CVE-2017-6872 para esta vulnerabilidad.
- Autorización inadecuada: El acceso mediante el puerto 443/TCP al servidor web integrado podría permitir a un atacante leer y manipular los datos de sesiones TLS mientras realiza un ataque de tipo Man-in-the-middle. Se ha reservado el identificador CVE-2017-6873 para esta vulnerabilidad.
Etiquetas: