Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Fecha de publicación:

13/09/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Analizador Elnet LT

Descripción:

Se ha publicado un artículo que identifica vulnerabilidades asociadas a la autenticación y presenta una prueba de concepto (PoC) que afecta al medidor de potencia Elnet LT de la compañía FENIKS PRO.

Solución:

Aún no existe una solución para estas vulnerabilidades por lo que se recomienda aplicar las medidas de seguridad oportunas para prevenir accesos no deseados.

Detalle:

Las vulnerabilidades publicadas son las siguientes:

Acceso no autenticado: Un potencial atacante puede acceder a la web de gestión sin necesidad de autenticarse.
Gestión débil de credenciales: Las contraseñas por defecto utilizadas en el dispositivo son sencilla y fáciles de adivinar. Además, el dispositivo no dispone de un mecanismo que obligue al cambio de las contraseñas por defecto.
Funcionalidad de recuperación de contraseñas: No existe una función para recuperar contraseñas olvidadas o perdidas.

Referencias:

FENIKS PRO Elnet Energy Meter Vulnerabilities

ELNet Energy & Electrical Power Meter - Mulitple Vulnerabilities

Etiquetas:

Infraestructuras críticas

Navegador

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa

Vulnerabilidad en productos de Johnson Controls

Validación incorrecta del certificado en CODESYS Git