Inicio / Alerta Temprana / Avisos Sci / Gestión de usuarios incorrecta en Industrial HiVision de Belden

Gestión de usuarios incorrecta en Industrial HiVision de Belden

Fecha de publicación: 
30/01/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Hirschmann Industrial HiVision, versiones desde la 06.0.00 a la 06.0.05 y la 07.0.00
Descripción: 

Belden a informado de una vulnerabilidad que permite a usuarios con acceso restringido ganar acceso de escritura a dispositivos gestionados mediante Industrial HiVision. Un potencial atacante con acceso de solo lectura puede conseguir modificar la configuración y ver otras credenciales con las que conseguir acceso de escritura.

Solución: 

Belden ha publicado las versiones 06.0.06 y 07.0.01 para el producto afectado que solucionan la vulnerabilidad detectada.

Detalle: 

Industrial HiVision permite a los administradores restringir el acceso de los usuarios mediante la función de administración de usuarios. El rol de acceso con permiso de login debe permitir acceso de sólo lectura y evitar el acceso de escritura a cualquier dispositivo administrado desde Industrial HiVision. Sin embargo, dicho usuario puede usar MultiConfig, un software para configurar muchos dispositivos de forma idéntica, para cambiar ciertos parámetros y luego ver las credenciales almacenadas de un dispositivo. Con estas credenciales, el usuario también puede ganar acceso de escritura al dispositivo, por ejemplo utilizando la interfaz web del dispositivo o a través de SNMP.