Los Investigadores de IOActive, han descubierto el uso de un generador de números pseudo aleatorios débil (PRNG,) utilizado para la generación de contraseñas aleatorias en ProSoft Technology RadioLinx ControlScap.El fallo ha sido catalogado con importacia crítica.
Detalle e Impacto de la vulnerabilidad de el sistema.
ProSoft Technology RadioLinx ControlScape utiliza librerías estándar C Run-Time "srand" y "rand" que utilizan una semilla para generar una contraseña aleatoria.
- Utilizando la misma semilla un atacante podría predecir los valores predeterminados que se utilizan en este software para generar contraseñas aleatorias, y provocar que el sistema resulte vulnerable a ataques de fuerza bruta.
- Las contraseñas establecidas de manera personalizada son menos vulnerables a estos ataques.
Recursos afectados
- Resultan afectadas las versiones de ProSoft Technology RadioLinx ControlScape siguientes:
- RadioLinx ControlScape versiones anteriores a FH v6.00.040
Recomendación
- ProSoft Technology publicó la versión 6.00.040 de firmware que soluciona esta vulnerabilidad, la cual puede descargarse desde el sitio oficial http://www.prosoft-technology.com/SERVICES-SUPPORT/Downloads
Más información
- Aviso del ICS-CERT: ICSA-13-248-01 http://ics-cert.us-cert.gov/advisories/ICSA-13-248-01
Fuente: Inteco
