Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Softing Secure Integration Server

Múltiples vulnerabilidades en Softing Secure Integration Server

Fecha de publicación: 
17/08/2022
Identificador: 
INCIBE-2022-0884
Importancia: 
5 - Crítica
Recursos afectados: 
  • Secure Integration Server, versión 1.22;
  • edgeConnector, versión 3.1;
  • edgeAggregator, versión 3.1;
  • OPC UA C++ Server SDK, versión 6;
  • OPC Suite, versión 5.2;
  • uaGate, versión 1.74.
Descripción: 

Pedro Ribeiro y Radek Domanski, en colaboración con ZDI de Trend Micro, han reportado 9 vulnerabilidades: 1 de severidad crítica, 7 altas y 1 media, cuya explotación podría permitir a un atacante causar una condición de denegación de servicio.

Solución: 

Actualizar Softing Secure Integration Server a la versión 1.30.

Detalle: 

El software Softing Secure Integration Server, edgeConnector y edgeAggregator se envía con las credenciales de administrador por defecto como `admin` y la contraseña como `admin`. Esto permite a Softing iniciar la sesión en el servidor directamente para realizar funciones administrativas. Tras la instalación o el primer inicio de sesión, la aplicación no pide al usuario que cambie la contraseña `admin`. No hay ninguna advertencia o aviso para pedir al usuario que cambie la contraseña por defecto, y para cambiar la contraseña, se requieren muchos pasos. Se ha asignado el identificador CVE-2022-2336 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-1069, CVE-2022-2334, CVE-2022-1373, CVE-2022-2338, CVE-2022-1748, CVE-2022-2337, CVE-2022-2547 y CVE-2022-2335.

Encuesta valoración