Múltiples vulnerabilidades en Softing Secure Integration Server
INCIBE-2022-0884
- Secure Integration Server, versión 1.22;
- edgeConnector, versión 3.1;
- edgeAggregator, versión 3.1;
- OPC UA C++ Server SDK, versión 6;
- OPC Suite, versión 5.2;
- uaGate, versión 1.74.
Pedro Ribeiro y Radek Domanski, en colaboración con ZDI de Trend Micro, han reportado 9 vulnerabilidades: 1 de severidad crítica, 7 altas y 1 media, cuya explotación podría permitir a un atacante causar una condición de denegación de servicio.
Actualizar Softing Secure Integration Server a la versión 1.30.
El software Softing Secure Integration Server, edgeConnector y edgeAggregator se envía con las credenciales de administrador por defecto como `admin` y la contraseña como `admin`. Esto permite a Softing iniciar la sesión en el servidor directamente para realizar funciones administrativas. Tras la instalación o el primer inicio de sesión, la aplicación no pide al usuario que cambie la contraseña `admin`. No hay ninguna advertencia o aviso para pedir al usuario que cambie la contraseña por defecto, y para cambiar la contraseña, se requieren muchos pasos. Se ha asignado el identificador CVE-2022-2336 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-1069, CVE-2022-2334, CVE-2022-1373, CVE-2022-2338, CVE-2022-1748, CVE-2022-2337, CVE-2022-2547 y CVE-2022-2335.
