Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades de autenticación en SIMATIC WinCC Sm@rtClient para iOS

Vulnerabilidades de autenticación en SIMATIC WinCC Sm@rtClient para iOS

Fecha de publicación: 
14/01/2015
Importancia: 
3 - Media
Recursos afectados: 

Están afectadas las siguientes versiones de SIMATIC WinCC Sm@rtClient:

  • SIMATIC WinCC Sm@rtClient: Todas las versiones anteriores a V1.0.2
  • SIMATIC WinCC Sm@rtClient Lite for iOS: Todas las versiones anteriores a V1.0.2.
Descripción: 

Se han identificado varias vulnerabilidades en el sistema de autenticación de la aplicación SIMATIC WinCC Sm@rtClient, que pueden ser utilizadas por un atacante con acceso local para escalar privilegios en la propia aplicación o en los servidores con los que se comunica.

Solución: 

Siemens ha liberado la versión V1.0.2 de la aplicación WinCC Sm@rtClient V1.0.2 para iOS que corrige estas vulnerabilidades. Se recomienda aplicar la actualización lo antes posible. Estas actualizaciones están disponibles en iTunes:

Detalle: 

Siemens ha identificado y corregido tres vulnerabilidades en el producto SIMATIC WinCC Sm@rtClient para iOS, que permite la operación móvil remota y observación de los sistemas SIMATIC HMI.

Las vulnerabilidades reportadas son:

  • Insuficiente protección de las credenciales, el mecanismo de almacenamiento para las contraseñas podría permitir a los atacantes extraer las mismas y acceder a la aplicación si se dispone de acceso local. Se ha reservado el CVE-2014-5231.
  • Autenticación irregular, en los casos en que una contraseña específica es validada, al volver la aplicación a primer plano no se requiere la contraseña. Se ha reservado el CVE-2014-5232.
  • Insuficiente protección de credenciales, si se dispone de acceso local, el mecanismo implementado para procesar las credenciales en Sm@rtServer podría permitir a los atacantes extraer las mismas.