Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Exposición de información en INGEPAC DA AU

Fecha de publicación 20/10/2021
Importancia
3 - Media
Recursos Afectados

INGEPAC DA AU, versión AUC_1.13.0.28 y anteriores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en INGEPAC DA AU, con el código interno INCIBE-2021-0429, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, mención especial para Jacinto Moral Matellán.

A esta vulnerabilidad se le ha asignado el código CVE-2017-20007. Se ha calculado una puntuación base CVSS v3.1 de 5,3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N.

Solución

Todas las versiones de firmware a partir de AUC_1.14.0.29 solucionan esta vulnerabilidad.

Detalle

La aplicación web Ingeteam INGEPAC DA AU AUC_1.13.0.28 (y anteriores) permite el acceso a una determinada ruta que contiene información sensible que podría ser utilizada por un atacante para ejecutar ataques más sofisticados.

Un atacante remoto no autenticado con acceso al servicio web del dispositivo podría explotar esta vulnerabilidad para obtener diferentes archivos de configuración.

Esta vulnerabilidad fue reportada a Ingeteam en 2021. Se solucionó parcialmente desde la versión AUC_1.12.0.22 (2019), y totalmente desde la versión AUC_1.14.0.29.

CWE-200: Exposición de información sensible a un agente no autorizado.

Línea temporal:

25/05/2021 - Los investigadores contactan con INCIBE.
15/06/2021 - Ingeteam confirma la vulnerabilidad a INCIBE.
20/10/20201 - INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Listado de referencias