Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Fecha de publicación:

13/09/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Analizador Elnet LT

Descripción:

Se ha publicado un artículo que identifica vulnerabilidades asociadas a la autenticación y presenta una prueba de concepto (PoC) que afecta al medidor de potencia Elnet LT de la compañía FENIKS PRO.

Solución:

Aún no existe una solución para estas vulnerabilidades por lo que se recomienda aplicar las medidas de seguridad oportunas para prevenir accesos no deseados.

Detalle:

Las vulnerabilidades publicadas son las siguientes:

Acceso no autenticado: Un potencial atacante puede acceder a la web de gestión sin necesidad de autenticarse.
Gestión débil de credenciales: Las contraseñas por defecto utilizadas en el dispositivo son sencilla y fáciles de adivinar. Además, el dispositivo no dispone de un mecanismo que obligue al cambio de las contraseñas por defecto.
Funcionalidad de recuperación de contraseñas: No existe una función para recuperar contraseñas olvidadas o perdidas.

Referencias:

FENIKS PRO Elnet Energy Meter Vulnerabilities

ELNet Energy & Electrical Power Meter - Mulitple Vulnerabilities

Etiquetas:

Infraestructuras críticas

Navegador

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO

Uso de función obsoleta en CX-Supervisor de Omron

Nivel de cifrado inadecuado en IntelliBridge de Philips

Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB

Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en productos de Siemens