CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/02/2016

Vulnerabilitat en B+B SmartWorx VESP211 serial server

Aquesta vulnerabilitat permetria realitzar, a un atacant remot sense autenticació, gestions administratives en la xarxa.

Risc: Crític

Aquest producte connecta dispositius RS- 232 , RS -422 o RS -485 a xarxes Ethernet, passant el dispositiu a formar part de la xarxa. S’utilitza principalment en sectors de telecomunicació, transport i energia.

No obstant això, la vulnerabilitat descoberta permet botar-se les restriccions de seguretat i, realitzar accions d’administrador per mitjà de codi JavaScript manipulat.

Més informació.

Sistemes Afectats:

Model: VESP211-EU Firmware Versió: 1.7.2
Model: VESP211-232 Firmware Versió: 1.7.2
Model: VESP211-232 Firmware Versió: 1.5.1

Referències:

CVE-2016-2275

Solució:

Les mesures de seguretat recomanades són:

Reduir l’exposició a la xarxa dels dispositius, assegurant-se que no siguen accessibles a través d’Internet.
Usar tallafocs, i aïllar la xarxa local de possibles accessos no autoritzats.
Quan es requerisca l’accés remot, usar mètodes segurs com ara xarxes privades virtuals (VPN).

Notes:

Hispasec

B+B SmartWorx VESP211 Authentication Bypass Vulnerability Advisory (ICSA-16-049-01)

https://ics-cert.us-cert.gov/advisories/ICSA-16-049-01

Advantech B+B SmartWorx

http://www.bb-elec.com/

Font: Hispasec una-al-dia

CSIRT-CV