Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en SiPass Integrated de Siemens

Múltiples vulnerabilidades en SiPass Integrated de Siemens

Fecha de publicación: 
13/07/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SiPass Integrated versiones anteriores a la V2.70.
Descripción: 

Siemens ha identificado varias vulnerabilidades que afectan a su producto SiPass Integrated, un sistema flexible de control de accesos. Un potencial atacante que aprovechara estas vulnerabilidades podría realizar acciones que requieren privilegios elevados, interceptar y/o modificar comunicaciones u obtener datos sensibles del sistema afectado.

Solución: 

Siemens dispone de una nueva versión V2.70 para SiPass Integrated que corrige estas vulnerabilidades.

Detalle: 
  • Evasión de autenticación: Un potencial atacante con acceso a la red del servidor de SiPass Integrated puede evadir el mecanismo de autenticación y realizar acciones administrativas. Se ha reservado el identificador CVE-2017-9939 para esta vulnerabilidad.
  • Control inadecuado de privilegios de usuario: Un potencial atacante con acceso a una cuenta de usuario con bajos privilegios, puede leer y escribir ficheros en el servidor SiPass Integrated por red. Se ha reservado el identificador CVE-2017-9940 para esta vulnerabilidad.
  • Modificación de datos entre cliente-servidor: Un potencial atacante con capacidad para realizar un ataque de hombre en el medio, podría leer y modificar las comunicaciones entre el cliente y el servidor de SiPass Integrated. Se ha reservado el identificador CVE-2017-9941 para esta vulnerabilidad.
  • Control inadecuado de credenciales: Un potencial atacante con acceso local al servidor SiPass Integrated o al cliente SiPass Integrated podría extraer credenciales del sistema. Se ha reservado el identificador CVE-2017-9942 para esta vulnerabilidad.