5 de junio de 2014

VULNERABILIDAD. Credenciales embebidas en Daktronics Vanguard

Se ha descubierto que el software de configuración para la notificación de señales en carreteras de Daktronics Vanguard incluye una contraseña embebida (hardcoded) en su código. La vulnerabilidad se ha catalogado con nivel de Importancia: 5 - Crítica
Recursos afectados
  • Software de notificación de señales de Daktronics Vanguard
Detalle e Impacto de la vulnerabilidad
·  La contraseña embebida (hardcoded) en el código del software para notificación de señales de la empresa Daktronics Vanguard podría permitir un acceso no autorizado a las señales, o sistemas de señalización de carreteras afectados por este problema.
·    La Administración Federal de Carreteras de Estados Unidos notificó a través del ICS-CERT al fabricante quien confirmo esta vulnerabilidad y que anunció que se encuentra trabajando en un parche para la misma.
·     La prueba de concepto de esta vulnerabilidad es pública, por lo que un atacante mal intencionado podría aprovecharse de esa información.
Recomendación
  1. Se recomienda tomar medidas para reducir el riesgo de exposición ante esta vulnerabilidad con acciones como:
  2. Minimizar el acceso a los dispositivos o sistemas de control afectados, asegurándose de que no son accesibles desde Internet.
  3. Aislar los sistemas afectados a través de cortafuegos o segmentos de red distintos de los de la red utilizada para gestionarlos.
  4. En caso de requerir una intervención remota a los dispositivos afectados, realizar este acceso a través de una red privada virtual o VPN.
Más información
Fuente: Inteco.es