Vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSensor

Fecha de publicación:

27/05/2016

Importancia:

4 - Alta

Recursos afectados:

AlertWerks ServSensor de Black Box, modelos EME105A, EME106A, EME108A-R2, EME109A-R2, y EME110A-R2, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Junior, modelos EME102A-R2, EME103A-R2, y EME104A-R2, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Junior with PoE, modelos EME152A, EME153A, EME154A, EME155A, y EME158A, firmware con versión anterior a versión SP473
AlertWerks ServSensor de Black Box Contact, modelos EME111A-20-R2, EME111A‑60-R2, EME112A-20-R2, EME112A-60-R2, EME113A-20-R2, y EME113A‑60-R2, firmware con versión anterior a versión SP473

Descripción:

El investigador independiente Lee Ryman ha identificado una vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSernsor.

Solución:

La compañía Black Box ha desarrollado un nuevo firmware que corrige la vulnerabilidad en todos los modelos AlertWerks ServSensor afectados. El firmware está disponible para descargar en el siguiente enlace:

AlertWerks ServSensor firmware v. SP473

Detalle:

Una mala gestión de credenciales permite a un usuario autenticado obtener las credenciales de usuarios y de administrador y comprometer el sistema. Esta vulnerabilidad es explotable de forma remota.

Referencias:

Black Box AlertWerks ServSensor Credential Management Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en la gestión de credenciales de Black Box AlertWerks ServSensor

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa

Vulnerabilidad en productos de Johnson Controls

Validación incorrecta del certificado en CODESYS Git