Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en MultiFLEX M10a Controller de ProMinent

Múltiples vulnerabilidades en MultiFLEX M10a Controller de ProMinent

Fecha de publicación: 
16/10/2017
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de MultiFLEX Controller, un controlador de tratamiento de aguas, están afectados:

  • Todas las versiones del interfaz web MultiFLEX M10a Controller
Descripción: 

El investigador Maxim Rupp ha informado de varias vulnerailidades, dos de las cuales son de severidad alta, que podrían permitir a un atacante saltarse mecanismos de protección, asumir la identidad de usuarios autenticados y cambiar la configuración del dispositivo.

Solución: 

ProMinent no ha proporcionado una solución a estas vulnerabilidades. ICS-CERT recomienda las siguiente medidas preventivas para minimizar el riesgo de explotación de las vulnerabilidades descritas en este aviso:

  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y asegurarse de que no sean accesibles desde Internet.
  • Localizar redes de sistemas de control y dispositivos remotos detrás del cortafuegos, y aislar de la red empresarial.
  • Cuando se requiere acceso remoto, utilizar métodos seguros, como las redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades, estas deben actualizarse a la versión más reciente disponible. También debe tenerse en cuenta que una VPN es tan segura como los dispositivos conectados.
Detalle: 
  • La función de cierre de sesión en la aplicación elimina la sesión de usuario sólo en el lado del cliente lo que podría permitir a una atacante saltarse mecanismos de protección, ganar privilegios o asumir la identidad de un usuario autenticado. Se ha reservado el identificador CVE-2017-14013 para esta vulnerabilidad.
  • La sesión de usuario está disponible por un período que se extiende más allá de la última actividad, permitiendo a un atacante reusar una sesión antigua para su utilización. Se ha reservado el identificador CVE-2017-14007 para esta vulnerabilidad.
  • La aplicación no verifica correctamente la peticiones, haciéndola susceptible de un ataque CSRF (cross-site request forgery). Esto podría permitir a un atacante ejecutar código no autorizado, resultando en cambios no controlados en la configuración del dispositivo. Se ha reservado el identificador CVE-2017-14011 para esta vulnerabilidad de severidad alta.
  • Cuando un usuario autenticado usa la característica "cambio de contraseña" en la aplicación, la contraseña actual del usuario es especificada en claro. Esto podría permitir a un atacante que haya podido evadir la autenticación, obtener acceso a la contraseña. Se ha reservado el identificador CVE-2017-14009 para esta vulnerabilidad.
  • Cuando se configura una nueva contraseña para un usuario, la aplicación no requiere que el usuario conozca su antigua contraseña. Un atacante que esté autenticado podría cambiar la contraseña de un usuario, posibilitando un acceso en el futuro así como realizar cambios en la configuración. Se ha reservado el identificador CVE-2017-14005 para esta vulnerabilidad.