Vulnerabilidad de evasión de autenticación en Ether-Serial Link de LAVA Computer MFG Inc.

Fecha de publicación:

11/10/2017

Importancia:

4 - Alta

Recursos afectados:

Todos los dispositivos Ether-Serial Link con versiones de firmware 6.01.00/29.03.2007 y anteriores.

Descripción:

Se ha identificado una vulnerabilidad de criticidad alta que podría permitir a un atacante falsificar la dirección IP de un usuario autenticado, asumir su identidad y obtener privilegios o acceder al sistema.

Solución:

LAVA Computer MFG Inc. no ha respondido a las solicitudes de trabajar con NCCIC/ICS-CERT para mitigar esta vulnerabilidad.

ICS-CERT recomienda que los usuarios tomen las siguientes medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad:

Minimizar la exposición de la red para todos los sistemas o dispositivos de sistemas de control y asegurar que no sean accesibles desde Internet.
Localizar redes de sistemas de control y dispositivos remotos detrás de cortafuegos, y aislarlos de la red empresarial.
Cuando se requiera acceso remoto, utilizar métodos seguros, como las redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible.

Detalle:

Vulnerabilidad de evasión de autenticación por falsificación: la explotación de esta vulnerabilidad permitiría a un atacante con la misma dirección IP eludir la autenticación accediendo a un localizador de recursos uniforme específico. Se ha reservado el identificador CVE-2017-14003.

Referencias:

LAVA Computer MFG Inc. Ether-Serial Link

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de evasión de autenticación en Ether-Serial Link de LAVA Computer MFG Inc.

Múltiples vulnerabilidades en varios productos de WAGO

Múltiples vulnerabilidades en productos Bosch

Múltiples vulnerabilidades en varios productos de B&R Industrial Automation

Vulnerabilidad de secuestro de DLL en Eaton 9000x

Múltiples vulnerabilidades en varios productos de General Electric