Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en EDW-100 de Westermo

Fecha de publicación 31/05/2024
Identificador
INCIBE-2024-0288
Importancia
5 - Crítica
Recursos Afectados

EDW-100: todas las versiones.

Descripción

Nicolai Grødum y Sofia Lindqvist, de PwC Noruega, han informado de 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante acceder al dispositivo utilizando credenciales codificadas y descargar nombres de usuario y contraseñas en texto sin cifrar.

Solución

Para mitigar los riesgos asociados con estas vulnerabilidades, Westermo recomienda seguir las indicaciones descritas en el aviso enlazado en la sección de "Referencias".

Detalle

La vulnerabilidad CVE-2024-36080 afecta al uso de contraseñas codificadas. El producto afectado tiene una cuenta de administrador oculta con una contraseña codificada. En el paquete de firmware, en "image.bin", el nombre de usuario raíz y la contraseña de esta cuenta están codificados y expuestos como cadenas que pueden extraerse trivialmente. Actualmente, no hay forma de cambiar esta contraseña.

La vulnerabilidad CVE-2024-36081 es de tipo credenciales insuficientemente protegidas. El producto afectado podría permitir una solicitud GET, no autenticada, que puede descargar el archivo de configuración que contiene la configuración, el nombre de usuario y las contraseñas en texto sin cifrar.

Listado de referencias