Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en SmartServer 1, SmartServer 2, i.LON 100 e i.LON 600 de Echelon.

Fecha de publicación: 20/07/2018

Importancia: Crítica

Recursos afectados:

  • SmartServer 1, i.LON 100 e i.LON 600, todas las versiones
  • SmartServer 2 todas las versiones anteriores a 4.11.007

Descripción:

Echelon, junto con Daniel Crowley, e IBM?s X-Force Red Team han reportado estas vulnerabilidades a NCCIC/ICS-CERT. Una explotación exitosa de estas vulnerabilidades podría permitir la ejecución remota de código en el dispositivo.

Solución:

Echelon recomienda a los usuarios afectados instalar SmartServer 2 Service Pack 7 (Version 4.11.007) para mitigar CVE-2018-8859, CVE-208-8851 y CVE-2018-8855, el cual se puede descargar en el siguiente enlace:

https://www.echelon.com/software-downloads?ele=153-0608-01A

También se recomienda la siguiente mitigación manual:

Para el CVE-2018-10627 Echelon recomienda a los usuarios afectados modificar el fichero WebParams.dat.

Echelon recomienda que se implemente la siguiente mitigación hasta que se instale SmartServer 2 Service Pack 7:

  • Todos los dispositivos SmartServer e i.LON 600 junto con los servidores que utilizan los servicios SmartServer e i.Lon deben instalarse detrás de un cortafuegos o en una VLAN sin otros dispositivos.
  • Cambie el nombre de usuario y la contraseña durante la instalación inicial de los productos afectados
  • Deshabilite servicios no cifrados y servicios cifrados seguros para SmartServer o i.LON 100

Detalle:

  • Exposición de información: Un atacante puede usar el API SOAP para recuperar y modificar elementos de configuración sensibles, como los nombres de usuario y contraseñas de los servidores web y FTP. Esta vulnerabilidad no afecta al producto i.LON 600. Se ha asignado el identificador CVE-2018-10627 para esta vulnerabilidad.
  • Evasión de la autenticación utilizando un camino o canal alternativo: Un atacante puede eludir la autenticación requerida especificada en el archivo de configuración de seguridad al incluir caracteres adicionales en el nombre de directorio cuando se especifica el directorio al que se accederá. Esta vulnerabilidad no afecta al producto i.LON 600. Se ha asignado el identificador CVE-2018-8859 para esta vulnerabilidad.
  • Almacenamiento de credenciales sin protección: Los dispositivos almacenan contraseñas en texto plano, lo que podría permitir a un atacante con acceso al archivo de configuración inicie sesión en la interfaz de usuario web de SmartServer. Se ha asignado el identificador CVE-2018-8851 para esta vulnerabilidad.
  • Transmisión de información sensible en texto claro: Los dispositivos permiten conexiones web sin cifrado por defecto y los dispositivos pueden recibir actualizaciones de configuración y de firmware mediante FTP inseguro. Se ha asignado el identificador CVE-2018-8855 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad