Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Autenticación inadecuada en controladores Access Easy de Bosch

Fecha de publicación 04/12/2018
Importancia
3 - Media
Recursos Afectados
  • Controlador Access Easy, versión 2.1
Descripción

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de autenticación inadecuada en los controladores Access Easy de Bosch que podría permitir a un atacante el acceso a los recursos del dispositivo.

Solución

Actualizar a la versión 2.1.9.3 del firmware.

Detalle
  • El dispositivo Access Easy usa el servicio gSOAP para recuperar datos en tiempo real y el estado del sensor para los navegadores de los clientes. Un atacante, conociendo la última conexión URL de SOAP, podría acceder al dispositivo sin necesidad de autorización de usuario y usar la interfaz del dispositivo.

Encuesta valoración

Listado de referencias
BOSCH-2018-1201: Bosch Access Easy Controller 2.1
Etiquetas