Inicio / Alerta Temprana / Avisos Sci / Fallo de autenticación en medidores de potencia PM8ECC de Schneider Electric

Fallo de autenticación en medidores de potencia PM8ECC de Schneider Electric

Fecha de publicación: 
13/10/2016
Importancia: 
5 - Crítica
Recursos afectados: 
  • Power Logic PM8ECC, todas las versiones de firmware hasta la 2.651 inclusive.
Descripción: 

Schneider Electric ha tenido conocimiento de una vulnerabilidad en la autenticación del dispositivo de medición PM8ECC.

Solución: 

El fabricante ha desarrollado una nueva versión de firmware que corrige esta vulnerabilidad (V2.652). 

Detalle: 

Accediendo a la URL http://<IP_or_hostname>/status.htm, podría aparecer un usuario especial en la esquina superior derecha de la ventana del navegador. Usando este usuario especial como usuario y contraseña para entrar vía HTTP o FTP al dispositivo, un atacante remoto podría acceder con permisos de administración a los servicios del dispositivo.

La página status.htm no se encuentra autenticada y cuando es solicitada directamente al servidor web, puede mostrar información en el campo User de forma no autorizada.

[ACTUALIZACIÓN 19/10/2016] Se ha reservado el identificador CVE-2016-6385 para esta vulnerabilidad.