Introducció
Una vulnerabilitat crítica en diferents productes de VARTA ha sigut descoberta sota la coordinació i suport del CERT@VDE per l’investigador de seguretat Andreas Dolp[1] .
Anàlisi
L’explotació reeixida d’aquestes vulnerabilitats podria permetre que un atacant o procés no autoritzat espie, veja o modifique dades, obtinga accés al sistema, realitze una execució de codi, instal·le programari no autoritzat o afecte la integritat de les dades del sistema, de tal manera que afecte negativament la confidencialitat, integritat o disponibilitat d’aquest.
CVE-2022-22512: Uso de credenciales codificadas (CWE-798)
Les credencials codificades en la Web-UI de diversos productes VARTA Storage en diverses versions permeten a un atacant no autoritzat obtindre accés administratiu a la Web-UI a través de la xarxa.
La vulnerabilitat permet l’accés no autoritzat de lectura i escriptura al backend web. Això permet la lectura i escriptura de paràmetres que no estan destinats a aquest efecte (per exemple, ajustos de connectivitat, paràmetres de xarxa).
La seguretat del dispositiu d’emmagatzematge en bateria no es veu afectada perquè els paràmetres rellevants per a la seguretat no són accessibles a través del backend web.
Els models afectats són:
- Element còpia de seguretat, versions anteriors a F21000400.
- Versions anteriors a 2e.3.8.0 dels productes:
- Element S1,
- Element S2,
- Element S3,
- One L/XL.
- Element S3, versions anteriors a 2e.4.4.0.
- Element S4, versions anteriors a D21010400.
- Pulse (sense inclurre pulse neo), versions anteriors a C21010800.
Recomanacions
Contramesures generals: Restringir el trànsit HTTP al sistema d’emmagatzematge d’energia utilitzant un tallafocs d’entrada o altres mesures a nivell de xarxa.
Contramesures específiques del producte: Es llançarà una versió corregida per OTA quan estiga disponible. El desplegament per a la còpia de seguretat de l’element VARTA començarà a la fi del primer trimestre de 2023, seguit de l’element S4.
Referències
[1] VDE-2022-061 – VARTA: Multiple devices prone to hard-coded credentials