18 de enero de 2015

PHOENIX CONTACT SOFTWARE. ProConOs y MultiProg no disponen de autenticación

ProConOs y MultiProg de Phoenix Contact Software permiten a cualquier usuario de la red interactuar con el proceso de control y cambiar su lógica, catalogada de Importancia: 5 - Crítica
Recursos afectados
  • Todas las versiones de ProConOs y MultiProg.
Detalle e Impacto de la vulnerabilidades
  • El protocolo de Phoenix Contact Software ha sido diseñado sin ningún método de autenticación, por lo que cualquiera con acceso a la red podría inyectar comandos al mismo.
  • Se ha asignado el CVE-2014-9195 a esta vulnerabilidad.
Recomendación
  • Por el momento no hay ninguna actualizacion que implemente autenticación, con lo cual se recomienda minimizar el acceso de red de los dispositivos, y emplear VPNs si es necesario el acceso remoto.
Más información
Fuente: INCIBE