El
investigador independiente Aditya Sood ha identificado una vulnerabilidad en la
autenticación del Java Web Client incluido en Clorius Controls A/S ISC SCADA
Server, que se ha catalogada de Importancia: 5 - Crítica
Recursos
afectados
- Clorius Controls A/S Java web
client incluido en versiones anteriores a v01.00.0009b
Detalle e
Impacto de la vulnerabilidades
- El cliente Java incluído en
Clorius Controls A/S ISC SCADA Server no dispone de un mecanismo de
autenticación fuerte, por lo que trasmite las credenciales mediante una
codificación insegura.
- Esto puede permitir a usuarios
maliciosos conectados en la misma red capturar el trafico de red y
descodificar las credenciales. Se ha reservado el identificador
CVE-2014-9199 para esta vulnerabilidad
Recomendación
- Clorius
Controls A/S ha publicado la actualización v01.00.0009g que corrige esta
vulnerabilidad. Puede descargarse en http://www.cloriuscontrols.com
Más
información
- ICSA-15-013-02: Clorius Controls A/S ISC SCADA
Insecure Java Client Web Authentication https://ics-cert.us-cert.gov/advisories/ICSA-15-013-02