Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Credenciales embebidas en myPRO 7 de mySCADA

Fecha de publicación: 22/05/2018

Importancia: Crítica

Recursos afectados:

  • myPRO 7

Descripción:

El investigador de ciberseguridad Emre ÖVÜNÇ ha identificado una vulnerabilidad de credenciales embebidas en el software HMI/SCADA myPRO 7 de mySCADA. Un potencial atacante podría utilizar estas credenciales para conectarse al servicio FTP y subir o descargar ficheros.

Solución:

No existe un parche o actualización que solucione esta vulnerabilidad. La única solución posible en este momento consiste en restringir el tráfico al puerto 2121.

Detalle:

La última versión de myPRO (v7), dispone la información del usuario y contraseña del servidor ftp en el puerto 2121 embebida en un archivo. Un potencial atacante podría utilizar dichas credenciales para cargar o descargar archivos en el servidor que ejecuta el software myPRO. Se ha reservado el identificador CVE-2018-11311 para esta vulnerabilidad.

Etiquetas: Comunicaciones, Vulnerabilidad