Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Ampla MES de Schneider Electric

Múltiples vulnerabilidades en Ampla MES de Schneider Electric

Fecha de publicación: 
04/07/2017
Importancia: 
3 - Media
Recursos afectados: 
  • Ampla MES, versión 6.4 y anteriores
Descripción: 

Ilya Karpov de Positive Technologies ha identificado dos vulnerabilidades que afectan al producto Ampla MES de Schneider Electric. Un atacante podría  comprometer las credenciales utilizadas en bases de datos de terceros o de los usuarios de Ampla configurados con seguridadd simple.

Solución: 

Schneider Electric recomienda a todos los usuarios instalar la versión Ampla MES, versión 6.5 para mitigar estas vulnerabilidades.

Detalle: 

Las vulnerabilidades identificadas son:

  • Almacenamiento en claro de información sensible: Ampla MES proporciona la capacidad de interactuar con datos de bases de datos de terceros. Cuando se conecta a estas bases de datos está configurado para utilizar credenciales SQL, información que puede ser obtenida si se obtiene la cadena de conexión. Si el acceso a las bases de datos de terceros se realiza mediante la seguridad integrada de Windows entonces el software no es vulnerable. Se ha reservado el identificador CVE-2017-9637 para esta vulnerabilidad.
  • Uso de contraseñas débiles: Ampla MES permite configurar usuarios y privilegios. Cuando los usuarios son configurados con seguridad simple (Simple Security), una debilidad en el algoritmo de hash de la contraseña podría permitir obtener de nuevo la contraseña. Si Ampla MES se configura para utilizar la seguridad integrada de Windows entonces el software no es vulnerable. Se ha reservado el identificador CVE-2017-9635 para esta vulnerabilidad.