Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en Pasarela MESR901 de Advantech B+B SmartWorx

Evasión de autenticación en Pasarela MESR901 de Advantech B+B SmartWorx

Fecha de publicación: 
03/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Pasarela Modbus MESR901 versiones de firmware v1.5.2 y anteriores
Descripción: 

El investigador independiente Maxim Rupp ha descubierto una vulnerabilidad en las pasarelas modbus MESR901 de la empresa Advantech B+B SmartWorx. Un atacante remoto puede evadir el método de autenticación de la web de configuración del dispositivo y acceder a páginas restringidas.

Solución: 

Advantech B+B SmartWorx está trabajando directamente en un modelo que sustituya el afectado, por lo que no va a generar parche que mitigue esta vulnerabilidad. Como recomendación el fabricante sugiere la utilización de un cortafuegos.

Detalle: 

La interfaz web de las pasarelas Modbus MESR901 usa JavaScript para comprobar si un usuario tiene autorización y redirigir a los no autorizados. Un atacante puede interceptar esta petición y saltarse la autenticación, permitiendo acceder a sitios restringidos de la web. Se ha reservado el identificador CVE-2017-7909 para esta vulnerabilidad.