Autenticación inapropiada en 4CCT
4CCT-EA6-334126BF, versión de firmware 3.23.77.8.33251.
INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo ZIV 4CCT, con el código interno INCIBE-2021-0040, que ha sido descubierto por el equipo de Ciberseguridad Industrial de S21Sec, con especial mención a Aarón Flecha Menéndez.
Se ha asignado el código CVE-2021-25910 para esta vulnerabilidad. Se ha calculado una puntuación base de 8.0 según CVSS v3; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H.
Actualizar a la versión 3.23.80.58.46120.
Esta situación también puede evitarse forzando el acceso HTTPS o limitando los accesos locales físicos a los dispositivos.
Un uso incorrecto del parámetro cookie en el dispositivo 4CCT, de ZIV Automation, permite a un atacante realizar modificaciones en varios parámetros del dispositivo afectado como usuario autenticado.
La vulnerabilidad se debe a un uso incorrecto del parámetro cookie, ya que no dispone de todos los mecanismos de seguridad necesarios para evitar un secuestro de sesión.
Para explotar la vulnerabilidad, el atacante debe estar dentro de la red donde se encuentra el dispositivo afectado.
CWE-287: Autenticación incorrecta.
Línea temporal:
04/07/2020 – Descubrimiento de los investigadores.
17/08/2020 – Investigadores contactan con INCIBE.
30/10/2020 – El fabricante confirma la vulnerabilidad a INCIBE.
21/12/2020 – ZIV confirma que la versión fix y la nueva versión software han sido publicadas (Security Patch/new version).
28/01/20201 – El aviso es publicado por INCIBE.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.