Vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSensor

Fecha de publicación:

27/05/2016

Importancia:

4 - Alta

Recursos afectados:

AlertWerks ServSensor de Black Box, modelos EME105A, EME106A, EME108A-R2, EME109A-R2, y EME110A-R2, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Junior, modelos EME102A-R2, EME103A-R2, y EME104A-R2, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Junior with PoE, modelos EME152A, EME153A, EME154A, EME155A, y EME158A, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Contact, modelos EME111A-20-R2, EME111A‑60-R2, EME112A-20-R2, EME112A-60-R2, EME113A-20-R2, y EME113A‑60-R2, firmware con versión anterior a versión SP473

Descripción:

El investigador independiente Lee Ryman ha identificado una vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSernsor.

Solución:

La compañía Black Box ha desarrollado un nuevo firmware que corrige la vulnerabilidad en todos los modelos AlertWerks ServSensor afectados. El firmware está disponible para descargar en el siguiente enlace:

AlertWerks ServSensor firmware v. SP473

Detalle:

Una mala gestión de credenciales permite a un usuario autenticado obtener las credenciales de usuarios y de administrador y comprometer el sistema. Esta vulnerabilidad es explotable de forma remota.

Referencias:

Black Box AlertWerks ServSensor Credential Management Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSensor

Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en productos de ABB

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Desbordamiento de búfer en múltiples productos de Hirschmann