Posted on by Industriales CSIRT-CV

[SCI] Credenciales en texto claro en productos VARTA

Introducción

Una vulnerabilidad crítica en distintos productos de VARTA ha sido descubierta bajo la coordinación y soporte del CERT@VDE por el investigador de seguridad Andreas Dolp[1] .

Análisis

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad de este.

CVE-2022-22512: Uso de credenciales codificadas (CWE-798)

Las credenciales codificadas en la Web-UI de varios productos VARTA Storage en varias versiones permiten a un atacante no autorizado obtener acceso administrativo a la Web-UI a través de la red.

La vulnerabilidad permite el acceso no autorizado de lectura y escritura al backend web. Esto permite la lectura y escritura de parámetros que no están destinados a este fin (por ejemplo, ajustes de conectividad, parámetros de red).

La seguridad del dispositivo de almacenamiento en batería no se ve afectada porque los parámetros relevantes para la seguridad no son accesibles a través del backend web.

Los modelos afectados son:

    • Element backup, versiones anteriores a F21000400.
    • Versiones anteriores a 2e.3.8.0 de los productos:
      • Element S1,
      • Element S2,
      • Element S3,
      • One L/XL.
    • Element S3, versiones anteriores a 2e.4.4.0.
    • Element S4, versiones anteriores a D21010400.
    • Pulse (sin incluir pulse neo), versiones anteriores a C21010800.

Recomendaciones

Contramedidas generales: Restringir el tráfico HTTP al sistema de almacenamiento de energía utilizando un cortafuegos de entrada u otras medidas a nivel de red.

Contramedidas específicas del producto: Se lanzará una versión corregida por OTA en cuanto esté disponible. El despliegue para la copia de seguridad del elemento VARTA comenzará a finales del primer trimestre de 2023, seguido del elemento S4.

Referencias

[1] VDE-2022-061 – VARTA: Multiple devices prone to hard-coded credentials