Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad en la App de iOS SIMATIC WinCC OA Operator de Siemens

Fecha de publicación: 18/04/2018

Importancia: Media

Recursos afectados:

  • SIMATIC WinCC OA Operator iOS App de Siemens, todas las versiones

Descripción:

Los investigadores Alexander Bolshev de IOActive e Ivan Yushkevich de Embedi se han coordinado con Siemens para gestionar esta vulnerabilidad. La App para iOS SIMATIC WinCC OA Operator está afectada por una vulnerabilidad que permitiría a un atacante con acceso físico al dispositivo móvil, leer datos que no están sujetos a un cifrado dentro del directorio de la aplicación.

Solución:

Siemens ha identificado las siguientes soluciones y mitigaciones específicas que sus clientes pueden aplicar para reducir el riesgo:

  • Desactivar el botón que permite guardar la contraseña al iniciar y al cerrar la sesión después de cada espacio de trabajo.
  • Seguir la guía de seguridad de SIMATIC WinCC OA para mantener la seguridad del entorno en SIMATIC WinCC OA. Esta guía puede descargarse en el siguiente enlace:

https://portal.etm.at/index.php?option=com_phocadownload&view=category&id=52:security&Itemid=81

Detalle:

  • Exposición de datos sensibles: La App para iOS SIMATIC WinCC OA Operator de Siemens, no dispone de una protección suficiente sobre cierta información sensible (Datos de sesión para acceder al servidor, por ejemplo) de la aplicación. Un atacante con acceso físico al dispositivo móvil podría explotar esta vulnerabilidad para acceder a los datos con información sensible, que no están sujetos a un cifrado dentro del directorio de la aplicación. Se ha reservado el identificador CVE-2018-4847 para esta vulnerabilidad.

Etiquetas: iOS, Móviles, Siemens, Vulnerabilidad