Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en CirCarLife de Circontrol

Fecha de publicación: 02/11/2018

Importancia: Crítica

Recursos afectados:

  • CirCarLife todas las versiones anteriores a 4.3.1

Descripción:

Ankit Anubhav de NewSky Security, M. Can Kurnaz de KMPG Holanda, Alim Solmaz de Atos, Michael Jonh de WePower Network y Gyorgy Miru de Verint han reportado estas vulnerabilidades de tipo evasión de autenticación y credenciales insuficientemente protegidas. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto obtener credenciales almacenadas en texto plano, evadir la autenticación así como ver y acceder a información crítica.

Solución:

Circontrol ha publicado una nueva versión de software que soluciona estas vulnerabilidades, disponible en el siguiente enlace:

http://expertarea.circontrol.com/

Detalle:

  • Evasión de autenticación: La autenticación en el dispositivo puede ser evitada introduciendo una URL de un sitio específico. Se ha reservado el identificador CVE-2018-17928 para esta vulnerabilidad.
  • Credenciales insuficientemente protegidas: Las credenciales PAP del dispositivo son almacenadas en texto plano dentro de un fichero de log que es accesible sin autenticación. Se ha reservado el identificador CVE-2018-17922 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad