Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/07/20

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SmartServer 1, i.LON 100 eta i.LON 600, bertsio guztiak
• SmartServer 2, 4.11.007 bertsioa baino lehenagoko guztiak

Azalpena:

Echelonek, Daniel Crowley eta IBMren X-Force Red Teamekin batera, ahultasun hauen berri eman dio NCCIC/ICS-CERTi. Ahultasun horiek arrakastaz baliatuz gero, gailuan urrunetik kodea exekutatu liteke.

Konponbidea:

Echelonek kaltetutako erabiltzaileei gomendatzen die SmartServer 2 Service Pack 7 (4.11.007 bertsioa) instalatzea CVE-2018-8859, CVE-208-8851 eta CVE-2018-8855en kalteak arintzeko. Ondoko loturatik deskarga daiteke:

https://www.echelon.com/software-downloads?ele=153-0608-01A

Ondoren azaltzen den eskuzko arintzea egitea ere gomendatzen du:

CVE-2018-10627rako Echelonek kaltetutako erabiltzaileei aholkatzen die WebParams.dat fitxategia aldatzea.

SmartServer 2 Service Pack 7 instalatu bitartean, Echelonek ondoren azaltzen den arintzea ezartzea aholkatzen du:

• SmartServer eta i.LON 600 gailu guztiak, SmartServer eta i.Lon zerbitzuak erabiltzen dituzten zerbitzariekin batera, suebaki baten atzean instalatu behar dira edo beste gailurik gabeko VLAN batean.
• Hasierako instalazioan aldatu kaltetutako produktuen erabiltzaile izena eta pasahitza.
• SmartServer edo i.LON 100en kasuan desgaitu zerbitzu ez zifratuak eta zerbitzu zifratu seguruak.

Xehetasuna:

• Informazioaren agerpena: Erasotzaile batek API SOAP erabil lezake konfigurazio sentikorreko elementuak berreskuratzeko eta aldatzeko, esate baterako, web eta FTP zerbitzarien erabiltzaile izenak eta pasahitzak. Ahultasun horrek ez dio eragiten i.LON 600 produktuari. Ahultasun horretarako CVE-2018-10627 identifikatzailea erabili da.
• Autentifikazioa saihestea ordezko bide edo kanal bat erabiliz: Erasotzaile batek segurtasuneko konfigurazioaren fitxategian zehaztuta dagoen derrigorrezko autentifikazioa saihets lezake, direktorioaren izenean karaktere gehigarriak idatziz sartu nahi den direktorioa zehazteko unean. Ahultasun horrek ez dio eragiten i.LON 600 produktuari. Ahultasun horretarako CVE-2018-8859 identifikatzailea erabili da.
• Kredentzialen biltegiratzea babesik gabe: Gailuek pasahitzak testu gardenean gordetzen dituzte, eta ahultasun hori baliatuz konfigurazio fitxategira sarbidea lukeen erasotzaile batek SmartServer-en web erabiltzailearen interfazean saioa has lezake. Ahultasun horretarako CVE-2018-8851 identifikatzailea erabili da.
• Informazio sentikorraren transmisioa testu gardenean: Gailuek web konexioak zifratu lehenetsirik gabe baimentzen dituzte eta konfigurazio eta firmware eguneraketak jaso ditzakete FTP ez-seguruen bidez. Ahultasun horretarako CVE-2018-8855 identifikatzailea erabili da.