Inicio / Alerta Temprana / Avisos Sci / Gestión débil de contraseñas en Wonderware Historian de Schneider Electric

Gestión débil de contraseñas en Wonderware Historian de Schneider Electric

Fecha de publicación: 
26/01/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Wonderware Historian 2014 R2 SP1 P01 y anteriores
Descripción: 

Ruslan Habalov y Jan Bee del Google ISA Assessments Team han descubierto una vulnerabilidad de gestión débil de contraseñas en el producto Wonderware Historian de Schneider Electric. La explotación de esta vulnerabilidad podría permitir a una entidad maliciosa comprometer las bases de datos del Histórico. En algunos escenarios, recursos SQL adicionales a los creados por Wonderware Historian podrían verse también comprometidos.

Solución: 

Para la mitigación de esta vulnerabilidad, Schneider Electric aconseja seguir los siguientes pasos:

  • Identificar dónde se utiliza el login. Algunos de los lugares pueden ser:
    • Wonderware Historian Client
    • Wonderware InTouch y scripts de Application Object
    • Configuración de Wonderware Information Server
    • Aplicaciones personalizadas no proporcionadas por Schneider Electric que interactúan con datos del histórico
  • Logins que no sean usados deben desactivarse desde SQL Server Management Studio.
  • Para los logins que siguen en uso, cambiar las contraseñas por defecto

Para incrementar el nivel de seguridad, Schneider Electric y Microsoft indican que la conectividad con SQL Server debe cumplir con Windows Integrated Security, en contraposición al uso de Logins SQL nativos.

Detalle: 

Wonderware Historian crea logins con contraseñas por defecto que pueden permitir a entidades maliciosas comprometer las bases de datos del Histórico. En algunos escenarios, recursos SQL adicionales a los creados por Wonderware Historian podrían verse también comprometidos. Se ha reservado el identificador CVE-2017-5155  para esta vulnerabilidad.