Credenciales insuficientemente protegidas en comunicaciones de clientes .NET y Java en OPC UA

Fecha de publicación 25/03/2020

Importancia

4 - Alta

Recursos Afectados

UA .NET Standard Stack y Sample Code,
UA .NET Legacy Stack y Sample Code,
UA Java Legacy Stack.

Descripción

El investigador Bernd Edlinger, de Softing, ha detectado una vulnerabilidad de criticidad alta que afecta a los clientes OPC .NET y Java. Un atacante remoto podría obtener las credenciales y reutilizarlas.

Solución

UA .NET Standard Stack y Sample Code, aplicar el parche de seguridad o actualizar NuGet Packages a la versión 1.4.359.31;
UA .NET Legacy Stack y Sample Code, aplicar el parche de seguridad;
UA Java Legacy Stack, aplicar el parche de seguridad.

Detalle

Los clientes OPC UA basados en .NET y Java contienen una vulnerabilidad que podría permitir un atacante remoto interceptar las comunicaciones mediante un ataque del tipo man in the middle, obtener las credenciales cifradas enviadas y reutilizarlas. Se ha asignado el identificador CVE-2019-19135 para esta vulnerabilidad.

Listado de referencias

OPC Foundation Security Bulletin Security Update for the OPC UA .NET and Java Client

Etiquetas