Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Transmisión de información sensible en texto claro en CAP/PRX de SITEL

Fecha de publicación 13/05/2021
Importancia
3 - Media
Recursos Afectados

CAP/PRX, versión de firmware 5.2.01.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo CAP/PRX, con el código interno INCIBE-2021-0181, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Aarón Flecha Menéndez y Luis Martín Liras, como investigador independiente.

A esta vulnerabilidad se le ha asignado el código CVE-2021-32456. Se ha calculado una puntuación base CVSS v3.1 de 6,5; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.

Solución

La corrección de esta vulnerabilidad está disponible a partir de la versión 1.2 de la plataforma CAP-PRX-NG.

Detalle

El proceso de autenticación de los usuarios legítimos al panel web de CAP/PRX se realiza mediante HTTP, por lo que las credenciales de acceso van en texto plano.

Un atacante con acceso a la red local del dispositivo, o al ordenador del usuario del dispositivo podría obtener las contraseñas de autenticación analizando el tráfico de la red.

Esta vulnerabilidad ha sido corregida en los productos afectados a través de los procesos de mejora continua por parte de SITEL.

CWE-319: Transmisión de información sensible en texto claro.

Línea temporal:

11/08/2017 - Divulgación de los investigadores.
02/10/2020 - Los investigadores contactan con INCIBE.
08/02/2021 - SITEL confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
13/05/2021 - INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración