Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en NovaWeb Web HMI de Sauter

Evasión de autenticación en NovaWeb Web HMI de Sauter

Fecha de publicación: 
09/12/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • NovaWeb web HMI, todas las versiones
Descripción: 

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad que afecta al HMI web NovaWeb Web HMI de Sauter.

Solución: 

Sauter no ha desarrollado ninguna mitigación para este producta ya que se encuentra fuera de soporte desde el año 2013.

Se recomienda a los usuarios tomen medidas defensivas para minimizar los riesgos de explotación de esta vulnerabilidad. Específicamente, los usuarios deberían:

  • Minimizar la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegurarse de que no son accesibles desde Internet.
  • Situar las redes del sistema de control y los dispositivos remotos detrás de cortafuegos y aislarlos de la red corporativa.
  • Cuando se requiera acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible y que son tan seguras como los dispositivos que conecta.
Detalle: 

La aplicación usa un mecanismo de protección que se basa en la existencia o los valores de una cookie, pero no garantiza correctamente que la cookie es válida para el usuario asociado. Un potencial atacante remoto podría evadir el mecanismo de autenticación modificando valores en la cookie. Se ha reservado el identificador CVE-2016-5782 para esta vulnerabilidad.