Se ha descubierto que el software de configuración para
la notificación de señales en carreteras de Daktronics Vanguard incluye una
contraseña embebida (hardcoded) en su código. La vulnerabilidad se ha
catalogado con nivel de Importancia: 5 - Crítica
Recursos afectados
- Software de notificación de
señales de Daktronics Vanguard
Detalle e Impacto de la
vulnerabilidad
· La
contraseña embebida (hardcoded) en el código del software para notificación de
señales de la empresa Daktronics Vanguard podría permitir un acceso no
autorizado a las señales, o sistemas de señalización de carreteras afectados
por este problema.
· La
Administración Federal de Carreteras de Estados Unidos notificó a través del
ICS-CERT al fabricante quien confirmo esta vulnerabilidad y que anunció que se
encuentra trabajando en un parche para la misma.
· La
prueba de concepto de esta vulnerabilidad es pública, por lo que un atacante
mal intencionado podría aprovecharse de esa información.
Recomendación
- Se recomienda tomar medidas
para reducir el riesgo de exposición ante esta vulnerabilidad con acciones
como:
- Minimizar el acceso a los
dispositivos o sistemas de control afectados, asegurándose de que no son
accesibles desde Internet.
- Aislar los sistemas afectados a
través de cortafuegos o segmentos de red distintos de los de la red
utilizada para gestionarlos.
- En caso de requerir una
intervención remota a los dispositivos afectados, realizar este acceso a
través de una red privada virtual o VPN.
Más información
- ICS-ALERT-14-155-01: Daktronics Vanguard
Hardcoded Credentials http://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-155-01
Fuente: Inteco.es