lunes, 22 de febrero de 2016

Vulnerabilidad descubierta en B+B SmartWorx VESP211 serial server

Se ha reportado una vulnerabilidad en la interfaz web de B+B SmartWorx que podría permitir a un atacante remoto sin autenticación realizar operaciones administrativas en la red.

El B+B SmartWorx VESP211 serial server permite conectar dispositivos RS- 232 , RS -422 o RS -485 a redes Ethernet, permitiendo al dispositivo en cuestión funcionar como un nodo de la red. Es un producto especialmente adaptado para entornos industriales, con un diseño compacto y muy resistente, ampliamente usado en sectores de telecomunicación, transporte y energía.

El problema, con CVE-2016-2275, un atacante remoto sin autenticación podría saltar restricciones de seguridad y realizar acciones administrativas a través de código JavaScript especialmente manipulado. El interface web usa JavaScript para comprobar la autenticación del cliente, redirigiendo los usuarios no autorizados a una página de login, en este caso, el atacante no autenticado podría acceder a paginas no autorizadas al interceptar o cambiar determinadas peticiones. Dicha vulnerabilidad ha sido reportada por el investigador independiente, Maxim Rupp.

Este problema afecta a los siguientes modelos y versiones:
  • Modelo: VESP211-EU   Firmware Version: 1.7.2
  • Modelo: VESP211-232   Firmware Version: 1.7.2
  • Modelo: VESP211-232   Firmware Version: 1.5.1 

Se recomienda tomar las siguientes medidas de seguridad: 
  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability Advisory (ICSA-16-049-01)

Advantech B+B SmartWorx


Juan Sánchez

No hay comentarios:

Publicar un comentario en la entrada