Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Fecha de publicación:

13/09/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Analizador Elnet LT

Descripción:

Se ha publicado un artículo que identifica vulnerabilidades asociadas a la autenticación y presenta una prueba de concepto (PoC) que afecta al medidor de potencia Elnet LT de la compañía FENIKS PRO.

Solución:

Aún no existe una solución para estas vulnerabilidades por lo que se recomienda aplicar las medidas de seguridad oportunas para prevenir accesos no deseados.

Detalle:

Las vulnerabilidades publicadas son las siguientes:

Acceso no autenticado: Un potencial atacante puede acceder a la web de gestión sin necesidad de autenticarse.
Gestión débil de credenciales: Las contraseñas por defecto utilizadas en el dispositivo son sencilla y fáciles de adivinar. Además, el dispositivo no dispone de un mecanismo que obligue al cambio de las contraseñas por defecto.
Funcionalidad de recuperación de contraseñas: No existe una función para recuperar contraseñas olvidadas o perdidas.

Referencias:

FENIKS PRO Elnet Energy Meter Vulnerabilities

ELNet Energy & Electrical Power Meter - Mulitple Vulnerabilities

Etiquetas:

Infraestructuras críticas

Navegador

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3

Credenciales insuficientemente protegidas en comunicaciones de clientes .NET y Java en OPC UA

Múltiples vulnerabilidades en equipamiento VBASE de VISAM