[SCI] Vulnerabilidad en el mecanismo de recuperación de credenciales en productos de IFM

Introducción

La empresa IFM ha recibido un reporte, del investigador Aimon Dawson, sobre una vulnerabilidad crítica de mecanismo débil de recuperación de contraseñas que afecta a los dispositivos QHA200 y QHA210. El fabricante ha remitido el reporte al CERT@VDE [1].

Análisis

Los dispositivos hardware QHA200 y QHA210 de IFM podrían permitir que un atacante remoto no autenticado reseteara la contraseña de administrador en el servidor dedicado (appliance) Moneo.

Para explotar esta vulnerabilidad, el atacante solo necesitaría proveer el número de serie, con el objetivo de reiniciar las credenciales de administrador.

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

    • CVE-2022-3485. CWE-640: Mecanismo de recuperación de contraseña débil para contraseña olvidada.
      El software contiene un mecanismo para que los usuarios recuperen o cambien sus contraseñas sin conocer la contraseña original, pero el mecanismo es débil. Un atacante remoto podría explotar esta vulnerabilidad para resetear la contraseña de administrador.

Recursos afectados:
Versiones 1.9.3 y anteriores de:

    • Moneo appliance QHA200.
    • Moneo appliance QHA210.

Recomendaciones

El fabricante informa de que en una futura versión la vulnerabilidad será solucionada. El CERT@VDE ha publicado la siguiente serie de medidas de mitigación:

    • Cuando utilice componentes de automatización, asegúrese de que no pueda producirse ningún acceso no autorizado.
    • Además, deben tomarse medidas para garantizar que los componentes no tengan acceso directo a recursos de Internet y que no se pueda acceder a ellos desde redes inseguras.
    • Utilice las medidas de seguridad disponibles, como los grupos de autenticación y autorización.

Referencias

[1] VDE-2022-050 IFM: weak password recovery vulnerability in moneo appliance