Vulnerabilidades críticas en Schneider ETG3000 FactoryCast HMI Gateway

Vulnerabilidades críticas en Schneider ETG3000 FactoryCast HMI Gateway

Fecha: 21/01/2015

Descripción: 

Se han identificado varias vulnerabilidades críticas en Schneider Electric ETG3000 FactoryCast HMI Gateway. El fabricante ha publicado una nueva versión de firmware.

Detalle: 

Qualys Security ha descubierto las siguientes vulnerabilidades que permiten acceso remoto no autorizado a ficheros y a la cuenta FTP del producto Gateway Schneider ETG3000 FactoryCast HMI:

  • Acceso no autorizado. El fichero red.jar es accesible sin autenticación necesaria lo que permite a un atacante obtener detalles de la instalación y configuración del sistema.
  • Credenciales FTP en código. Las credenciales de acceso a la cuenta FTP se especifican en el código del servidor ftp, lo que permite a un atacante acceso no autorizado.

Ambas vulnerabilidades son críticas y tienen reservados los identificadores CVE-2014-9197 y CVE-2014-9198 respectivamente.