Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación:

19/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

VESP211-EU versión 1.7.2
VESP211-232 versión 1.7.2
VESP211-232 versión 1.5.1

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución:

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle:

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Referencias:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Evasión de autenticación en VESP211 de B+B SmartWorx

Múltiples vulnerabilidades en varios productos de MB connect line

Vulnerabilidades en productos de Bosch con sistemas de comunicación CODESYS

Referencia a puntero nulo en módulos de interfaz Ethernet MELSEC-F de Mitsubishi Electric

Vulnerabilidad de falta de autenticación en WebAccess/NMS de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech