Múltiples vulnerabilidades de autenticación en medidor de energía Elnet de FENIKS PRO
Fecha de publicación:
13/09/2016
Importancia:
5 -
Crítica
Recursos afectados:
Los productos afectados son los siguientes:
- Analizador Elnet LT
Descripción:
Se ha publicado un artículo que identifica vulnerabilidades asociadas a la autenticación y presenta una prueba de concepto (PoC) que afecta al medidor de potencia Elnet LT de la compañía FENIKS PRO.
Solución:
Aún no existe una solución para estas vulnerabilidades por lo que se recomienda aplicar las medidas de seguridad oportunas para prevenir accesos no deseados.
Detalle:
Las vulnerabilidades publicadas son las siguientes:
- Acceso no autenticado: Un potencial atacante puede acceder a la web de gestión sin necesidad de autenticarse.
- Gestión débil de credenciales: Las contraseñas por defecto utilizadas en el dispositivo son sencilla y fáciles de adivinar. Además, el dispositivo no dispone de un mecanismo que obligue al cambio de las contraseñas por defecto.
- Funcionalidad de recuperación de contraseñas: No existe una función para recuperar contraseñas olvidadas o perdidas.
Referencias: