Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Credenciales embebidas en CAP/PRX de SITEL

Fecha de publicación 13/05/2021
Importancia
5 - Crítica
Recursos Afectados

CAP/PRX, versión de firmware 5.2.01.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo CAP/PRX, del fabricante SITEL, con el código interno INCIBE-2021-0179, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Aarón Flecha Menéndez y Luis Martín Liras, como investigador independiente.

A esta vulnerabilidad se le ha asignado el código CVE-2021-32454. Se ha calculado una puntuación base CVSS v3.1 de 9,6; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución

La corrección de esta vulnerabilidad está disponible a partir de la versión 1.2 de la plataforma CAP-PRX-NG.

Detalle

El CAP/PRX remoto de SITEL utiliza una contraseña embebida. Un atacante con acceso al dispositivo podría modificar estas credenciales, dejando a los administradores del dispositivo sin acceso.

Esta vulnerabilidad ha sido corregida en los productos afectados a través de los procesos de mejora continua por parte de SITEL.

CWE-798: Credenciales embebidas.

Línea temporal:

11/08/2017 - Divulgación de los investigadores.
02/10/2020 - Los investigadores contactan con INCIBE.
08/02/2021 - SITEL confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
13/05/2021 - INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración