Control de acceso inadecuado en dispositivos xComfort de Eaton

Fecha de publicación:

03/03/2017

Importancia:

4 - Alta

Recursos afectados:

xComfort ECI, versiones 1.07 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de inadecuado control de acceso que afecta a las interfaces de comunicación Ethernet xComfort de Eaton. Un potencial atacante remoto podría acceder a los ficheros de backup y el log del sistema sin necesidad de autenticación.

Solución:

Eaton recomienda todos los usuarios afectados actualizar a la última versión del software, que puede descargarse desde la pestaña Software Downloads dentro de la sección Documentation en el siguiente enlace: www.eaton.eu/xcomfort#tabs-11

Detalle:

A través de una URL específica en el servidor web, un atacante remoto podría acceder a ficheros sin autenticación, accediendo de esta forma a ficheros de log y backup del dispositivo. Se ha reservado el identificador CVE-2017-9368 para esta vulnerabilidad.

Referencias:

Eaton xComfort Ethernet Communication Interface

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en dispositivos xComfort de Eaton

Múltiples vulnerabilidades en productos de Schneider Electric

Ejecución de código en Digi ConnectPort X2D Gateway

Divulgación de información en OPC UA .NET Standard Reference Server

Múltiples vulnerabilidades en Bosch BF-OS

Múltiples vulnerabilidades en productos ABB