Posted on by Industriales CSIRT-CV

[SCI] Credencials en text clar en productes VARTA

Introducció

Una vulnerabilitat crítica en diferents productes de VARTA ha sigut descoberta sota la coordinació i suport del CERT@VDE per l’investigador de seguretat Andreas Dolp[1] .

Anàlisi

L’explotació reeixida d’aquestes vulnerabilitats podria permetre que un atacant o procés no autoritzat espie, veja o modifique dades, obtinga accés al sistema, realitze una execució de codi, instal·le programari no autoritzat o afecte la integritat de les dades del sistema, de tal manera que afecte negativament la confidencialitat, integritat o disponibilitat d’aquest.

CVE-2022-22512: Uso de credenciales codificadas (CWE-798)

Les credencials codificades en la Web-UI de diversos productes VARTA Storage en diverses versions permeten a un atacant no autoritzat obtindre accés administratiu a la Web-UI a través de la xarxa.

La vulnerabilitat permet l’accés no autoritzat de lectura i escriptura al backend web. Això permet la lectura i escriptura de paràmetres que no estan destinats a aquest efecte (per exemple, ajustos de connectivitat, paràmetres de xarxa).

La seguretat del dispositiu d’emmagatzematge en bateria no es veu afectada perquè els paràmetres rellevants per a la seguretat no són accessibles a través del backend web.

Els models afectats són:

    • Element còpia de seguretat, versions anteriors a F21000400.
    • Versions anteriors a 2e.3.8.0 dels productes:
      • Element S1,
      • Element S2,
      • Element S3,
      • One L/XL.
    • Element S3, versions anteriors a 2e.4.4.0.
    • Element S4, versions anteriors a D21010400.
    • Pulse (sense inclurre pulse neo), versions anteriors a C21010800.

Recomanacions

Contramesures generals: Restringir el trànsit HTTP al sistema d’emmagatzematge d’energia utilitzant un tallafocs d’entrada o altres mesures a nivell de xarxa.

Contramesures específiques del producte: Es llançarà una versió corregida per OTA quan estiga disponible. El desplegament per a la còpia de seguretat de l’element VARTA començarà a la fi del primer trimestre de 2023, seguit de l’element S4.

Referències

[1] VDE-2022-061 – VARTA: Multiple devices prone to hard-coded credentials