Múltiples vulnerabilidades en Android App SIMATIC Sm@rtClient de Siemens
Fecha de publicación:
13/07/2017
Importancia:
4 -
Alta
Recursos afectados:
- SIMATIC WinCC Sm@rtClient para Android versiones anteriores a V1.0.2.2.
- SIMATIC WinCC Sm@rtClient Lite para Android versiones anteriores a V1.0.2.2.
Descripción:
Los investigadores Karsten Sohr y Timo Glander de TZI en la Universidad de Bremen, han identificado dos vulnerabilidades que afectan a las aplicaciones para Android SIMATIC WinCC Sm@rtClient y SIMATIC WinCC Sm@rtClient Lite de Siemens. Un potencial atacante con acceso a un dispositivo móvil que ejecute Android SIMATIC WinCC Sm@rtClient, podría evadir la autenticación de esta aplicación entrando en el sistema monitorizado o leer/modificar datos de una sesión TLS establecida.
Solución:
Siemens ha lanzado la versión V1.0.2.2 de la aplicación SIMATIC WinCC Sm@rtClient para Android [1,2,3,4,5], que corrige estas vulnerabilidades.
Detalle:
- Modificación de datos: Un potencial atacante con capacidad para realizar un ataque de hombre en el medio, podría aprovechar la implementación insegura del protocolo TLS para leer o modificar datos dentro de la propia sesión TLS. Esta vulnerabilidad solamente afecta a SIMATIC WinCC Sm@rtClient para Android. Se ha reservado el identificador CVE-2017-6870 para esta vulnerabilidad.
- Evasión de autenticación: Un potencial atacante con acceso al dispositivo móvil con la aplicación Android SIMATIC WinCC Sm@rtClient en ejecución, podría evadir la autenticación de esta aplicación y entrar en el sistema monitorizado bajo ciertas condiciones. Se ha reservado el identificador CVE-2017-6871 para esta vulnerabilidad.
Referencias:
Etiquetas: