Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el Smart Visu Server de JUNG

Múltiples vulnerabilidades en el Smart Visu Server de JUNG

Fecha de publicación: 
08/02/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Smart Visu Server, versiones de firmware 1.0.804, 1.0.830 y 1.0.832
Descripción: 

Investigadores de SEC Consult Vulnerability Lab han detectado varias vulnerabilidades que afectan a Smart Visu Server de JUNG. Las vulnerabilidades pueden ser explotadas de forma remota si el servicio vulnerable (SSH) está expuesto en Internet.

Solución: 

JUNG ha desarrollado una nueva versión de firmware (1.0.900) que se actualizará en los sistemas afectados de forma automática. 

Detalle: 
  • Salto de directorio: Smart Visu Server se ejecuta con permisos de superusuario y es vulnerable a salto de directorio. Un potencial atacante podría aprovechar esta vulnerabilidad para la divulgación de todos los archivos del sistema.
  • Puerta trasera: Dos cuentas de usuario no documentadas dentro del sistema operativo están presentes en el dispositivo afectado. Estos usuarios pueden ser utilizados por atacantes para obtener acceso a Smart Visu Server a través del servicio SSH.
  • Acceso no autorizado al desbloqueo de grupos de direcciones sin contraseña: Como medida de protección, los grupos de direcciones de KNX pueden ser bloqueadas con una contraseña definida por el usuario. Un atacante podría tener acceso al servidor y cambiar completamente la configuración de los dispositivos conectados al servidor (p. ej. un interruptor de la luz ubicado en la cocina puede ser intercambiado por el aire acondicionado) mediante una petición especialmente manipulada.