Inicio / Alerta Temprana / Avisos Sci / Clave criptográfica embebida en Sixnet-Managed de Red Lion Controls y STRIDE-Managed de AutomationDirect

Clave criptográfica embebida en Sixnet-Managed de Red Lion Controls y STRIDE-Managed de AutomationDirect

Fecha de publicación: 
24/02/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Productos de Red Lion Controls afectados:

  • Switches industrial Sixnet-Managed con versiones del firmware 5.0.196 o anteriores

Productos de AutomationDirect afectados:

  • Switches Ethernet Stride-Managed con versiones del firmware 5.0.190 y anteriores
Descripción: 

El investigador Mark Cross de RIoT Solutions ha identificado una vulnerabilidad por claves criptográficas embebidas que afecta a los switches industriales Sixnet-Managed de Red Lion Controls y a los switches Ethernet Stride-Managed de AutomationDirect. La explotación exitosa de esta vulnerabilidad puede resultar en una pérdida de confidencialidad de los datos, pérdida de integridad y pérdida de disponibilidad.

Solución: 

Red Lion Controls ha publicado la versión 5.3.174 del firmware SLX para mitigar esta vulnerabilidad. Automation Direct recomienda actualizar sus switches Ethernet Stride-Managed a esa misma versión de firmware.

Las versiones de firmware pueden encontrarse en:

Detalle: 

Se ha identificado una vulnerabilidad de claves criptográficas embebidas utilizadas para comunicaciones seguras en HTTP SSL/SSH. Estas claves no pueden ser regeneradas por los usuarios y todos los dispositivos utilizan las mismas. Un potencial atacante remoto que se aprovechase de esta vulnerabilidad podría cortar la comunicación o comprometer el sistema. Se ha reservado el identificador CVE-2017-9335 para esta vulnerabilidad.