Control de acceso inadecuado en dispositivos xComfort de Eaton

Fecha de publicación:

03/03/2017

Importancia:

4 - Alta

Recursos afectados:

xComfort ECI, versiones 1.07 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de inadecuado control de acceso que afecta a las interfaces de comunicación Ethernet xComfort de Eaton. Un potencial atacante remoto podría acceder a los ficheros de backup y el log del sistema sin necesidad de autenticación.

Solución:

Eaton recomienda todos los usuarios afectados actualizar a la última versión del software, que puede descargarse desde la pestaña Software Downloads dentro de la sección Documentation en el siguiente enlace: www.eaton.eu/xcomfort#tabs-11

Detalle:

A través de una URL específica en el servidor web, un atacante remoto podría acceder a ficheros sin autenticación, accediendo de esta forma a ficheros de log y backup del dispositivo. Se ha reservado el identificador CVE-2017-9368 para esta vulnerabilidad.

Referencias:

Eaton xComfort Ethernet Communication Interface

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en dispositivos xComfort de Eaton

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3

Credenciales insuficientemente protegidas en comunicaciones de clientes .NET y Java en OPC UA

Múltiples vulnerabilidades en equipamiento VBASE de VISAM