Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en SPRECON-E de Sprecher Automation

Múltiples vulnerabilidades en SPRECON-E de Sprecher Automation

Fecha de publicación: 
07/12/2022
Identificador: 
INCIBE-2022-1041
Importancia: 
3 - Media
Recursos afectados: 

Módulos CPU SPRECON-E-C/P/T3 de las siguientes variantes: PU244x, PU243x, MC33/34 y SPRECON-EDIR.

Descripción: 

Sprecher Automation ha informado de varias vulnerabilidades que afectan a sus productos SPRECON-E y que permitirían a un atacante con acceso al dispositivo, manipular verificaciones de hardware y eludir verificaciones de código, pudiendo inyectar código arbitrario o acceder al dispositivo en modo de mantenimiento con credenciales por defecto, siempre que las cuentas de mantenimiento estén activadas.

Solución: 

Sprecher Automation publicara nuevas versiones de firmware para solucionar estas vulnerabilidades y recomienda:

  • Revisar los controles de acceso físico a los dispositivos, así como monitorizar la disponibilidad de los mismos, ya que las vulnerabilidades requieren desconectar los dispositivos. Así podrían detectarse intentos de ataque.
  • Seguir las mejores prácticas de seguridad, como, por ejemplo, ISO/IEC 27019.
  • Restringir los privilegios de acceso a los dispositivos OT, así como monitorizar y supervisar los accesos a los mismos.
  • Asegurar la infraestructura de acceso remoto a los dispositivos, ya que podría almacenar datos de configuración o credenciales.
Detalle: 

Las vulnerabilidades notificadas por Sprecher Automation en sus productos SPRECON-E permitirían el acceso a los dispositivos a través de inicios de sesión de mantenimiento con credenciales estáticas que solo conocen el personal de Sprecher, siempre que el propietario del dispositivo las habilite. Además a través del acceso físico y la manipulación del hardware se podría eludir la verificación de código basada en hardware e inyectar código arbitrario en el dispositivo. Ambas vulnerabilidades son calificadas por Sprecher Automation con una criticidad media.

Encuesta valoración