Control de acceso inadecuado en dispositivos xComfort de Eaton

Fecha de publicación:

03/03/2017

Importancia:

4 - Alta

Recursos afectados:

xComfort ECI, versiones 1.07 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de inadecuado control de acceso que afecta a las interfaces de comunicación Ethernet xComfort de Eaton. Un potencial atacante remoto podría acceder a los ficheros de backup y el log del sistema sin necesidad de autenticación.

Solución:

Eaton recomienda todos los usuarios afectados actualizar a la última versión del software, que puede descargarse desde la pestaña Software Downloads dentro de la sección Documentation en el siguiente enlace: www.eaton.eu/xcomfort#tabs-11

Detalle:

A través de una URL específica en el servidor web, un atacante remoto podría acceder a ficheros sin autenticación, accediendo de esta forma a ficheros de log y backup del dispositivo. Se ha reservado el identificador CVE-2017-9368 para esta vulnerabilidad.

Referencias:

Eaton xComfort Ethernet Communication Interface

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en dispositivos xComfort de Eaton

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric

Autenticación incorrecta en PortServer TS 16 de Digi International