Clave criptográfica embebida en Sixnet-Managed de Red Lion Controls y STRIDE-Managed de AutomationDirect
Fecha de publicación:
24/02/2017
Importancia:
5 -
Crítica
Recursos afectados:
Productos de Red Lion Controls afectados:
- Switches industrial Sixnet-Managed con versiones del firmware 5.0.196 o anteriores
Productos de AutomationDirect afectados:
- Switches Ethernet Stride-Managed con versiones del firmware 5.0.190 y anteriores
Descripción:
El investigador Mark Cross de RIoT Solutions ha identificado una vulnerabilidad por claves criptográficas embebidas que afecta a los switches industriales Sixnet-Managed de Red Lion Controls y a los switches Ethernet Stride-Managed de AutomationDirect. La explotación exitosa de esta vulnerabilidad puede resultar en una pérdida de confidencialidad de los datos, pérdida de integridad y pérdida de disponibilidad.
Solución:
Red Lion Controls ha publicado la versión 5.3.174 del firmware SLX para mitigar esta vulnerabilidad. Automation Direct recomienda actualizar sus switches Ethernet Stride-Managed a esa misma versión de firmware.
Las versiones de firmware pueden encontrarse en:
Detalle:
Se ha identificado una vulnerabilidad de claves criptográficas embebidas utilizadas para comunicaciones seguras en HTTP SSL/SSH. Estas claves no pueden ser regeneradas por los usuarios y todos los dispositivos utilizan las mismas. Un potencial atacante remoto que se aprovechase de esta vulnerabilidad podría cortar la comunicación o comprometer el sistema. Se ha reservado el identificador CVE-2017-9335 para esta vulnerabilidad.
Referencias:
Etiquetas: