Vulnerabilidad en B+B SmartWorx VESP211 serial server
Esta vulnerabilidad permitiría realizar, a un atacante remoto sin autenticación, gestiones administrativas en la red.
Riesgo: Crítico
Este producto conecta dispositivos RS- 232 , RS -422 o RS -485 a redes Ethernet, pasando el dispositivo a formar parte de la red. Se utiliza principalmente en sectores de telecomunicación, transporte y energía.
Sin embargo, la vulnerabilidad descubierta permite saltarse las restricciones de seguridad y, realizar acciones de administrador mediante código JavaScript manipulado.
Más información.
Sistemas Afectados:
- Modelo: VESP211-EU Firmware Version: 1.7.2
- Modelo: VESP211-232 Firmware Version: 1.7.2
- Modelo: VESP211-232 Firmware Version: 1.5.1
Referencias: CVE-2016-2275
Solución:Las medidas de seguridad recomendadas son:
- Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
- Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
- Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Notas: Hispasec
B+B SmartWorx VESP211 Authentication Bypass Vulnerability Advisory (ICSA-16-049-01)
Advantech B+B SmartWorx
http://www.bb-elec.com/