Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Fecha de publicación:

13/09/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Analizador Elnet LT

Descripción:

Se ha publicado un artículo que identifica vulnerabilidades asociadas a la autenticación y presenta una prueba de concepto (PoC) que afecta al medidor de potencia Elnet LT de la compañía FENIKS PRO.

Solución:

Aún no existe una solución para estas vulnerabilidades por lo que se recomienda aplicar las medidas de seguridad oportunas para prevenir accesos no deseados.

Detalle:

Las vulnerabilidades publicadas son las siguientes:

Acceso no autenticado: Un potencial atacante puede acceder a la web de gestión sin necesidad de autenticarse.
Gestión débil de credenciales: Las contraseñas por defecto utilizadas en el dispositivo son sencilla y fáciles de adivinar. Además, el dispositivo no dispone de un mecanismo que obligue al cambio de las contraseñas por defecto.
Funcionalidad de recuperación de contraseñas: No existe una función para recuperar contraseñas olvidadas o perdidas.

Referencias:

FENIKS PRO Elnet Energy Meter Vulnerabilities

ELNet Energy & Electrical Power Meter - Mulitple Vulnerabilities

Etiquetas:

Infraestructuras críticas

Navegador

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Ejecución remota de código en Advantech WebAccess/HMI Designer

Vulnerabilidad de XSS en productos Ellipse APM de Hitachi ABB Power Grids

Múltiples vulnerabilidades en conmutadores Stratix de Rockwell Automation

Múltiples vulnerabilidades en productos de Delta Electronics

Múltiples vulnerabilidades en productos Meinberg con LANTIME firmware