Vulnerabilidad en la App de iOS SIMATIC WinCC OA Operator de Siemens
Fecha de publicación 18/04/2018
Importancia
3 - Media
Recursos Afectados
- SIMATIC WinCC OA Operator iOS App de Siemens, todas las versiones
Descripción
Los investigadores Alexander Bolshev de IOActive e Ivan Yushkevich de Embedi se han coordinado con Siemens para gestionar esta vulnerabilidad. La App para iOS SIMATIC WinCC OA Operator está afectada por una vulnerabilidad que permitiría a un atacante con acceso físico al dispositivo móvil, leer datos que no están sujetos a un cifrado dentro del directorio de la aplicación.
Solución
Siemens ha identificado las siguientes soluciones y mitigaciones específicas que sus clientes pueden aplicar para reducir el riesgo:
- Desactivar el botón que permite guardar la contraseña al iniciar y al cerrar la sesión después de cada espacio de trabajo.
- Seguir la guía de seguridad de SIMATIC WinCC OA para mantener la seguridad del entorno en SIMATIC WinCC OA. Esta guía puede descargarse en el siguiente enlace:
https://portal.etm.at/index.php?option=com_phocadownload&view=category&id=52:security&Itemid=81
Detalle
- Exposición de datos sensibles: La App para iOS SIMATIC WinCC OA Operator de Siemens, no dispone de una protección suficiente sobre cierta información sensible (Datos de sesión para acceder al servidor, por ejemplo) de la aplicación. Un atacante con acceso físico al dispositivo móvil podría explotar esta vulnerabilidad para acceder a los datos con información sensible, que no están sujetos a un cifrado dentro del directorio de la aplicación. Se ha reservado el identificador CVE-2018-4847 para esta vulnerabilidad.
Listado de referencias
Etiquetas