Fecha de publicación: 17/08/2022
Importancia:
Crítica
Recursos afectados:
- Secure Integration Server, versión 1.22;
- edgeConnector, versión 3.1;
- edgeAggregator, versión 3.1;
- OPC UA C++ Server SDK, versión 6;
- OPC Suite, versión 5.2;
- uaGate, versión 1.74.
Descripción:
Pedro Ribeiro y Radek Domanski, en colaboración con ZDI de Trend Micro, han reportado 9 vulnerabilidades: 1 de severidad crítica, 7 altas y 1 media, cuya explotación podría permitir a un atacante causar una condición de denegación de servicio.
Solución:
Actualizar Softing Secure Integration Server a la versión 1.30.
Detalle:
El software Softing Secure Integration Server, edgeConnector y edgeAggregator se envía con las credenciales de administrador por defecto como `admin` y la contraseña como `admin`. Esto permite a Softing iniciar la sesión en el servidor directamente para realizar funciones administrativas. Tras la instalación o el primer inicio de sesión, la aplicación no pide al usuario que cambie la contraseña `admin`. No hay ninguna advertencia o aviso para pedir al usuario que cambie la contraseña por defecto, y para cambiar la contraseña, se requieren muchos pasos. Se ha asignado el identificador CVE-2022-2336 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-1069, CVE-2022-2334, CVE-2022-1373, CVE-2022-2338, CVE-2022-1748, CVE-2022-2337, CVE-2022-2547 y CVE-2022-2335.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.