Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los archivos de la base de datos del servidor en ClearSCADA, EcoStruxure Geo SCADA Expert 2019 y EcoStruxure Geo SCADA Expert 2020 (CVE-2021-22741)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
26/05/2021
Última modificación:
07/06/2021

Descripción

Una vulnerabilidad de Uso de Contraseña Hash con vulnerabilidad con Esfuerzo Computacional Insuficiente se presenta en ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones) y EcoStruxure Geo SCADA Expert 2020 (versiones V83.7742.1 y anteriores), que podría causar la revelación de las credenciales de la cuenta cuando los archivos de la base de datos del servidor están disponibles. La exposición de estos archivos a un atacante puede hacer que el sistema sea vulnerable a los ataques de descifrado de contraseñas. Tome en cuenta que los archivos de exportación de configuración ".sde" no contienen hashes de contraseña de cuenta de usuario

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:schneider-electric:clearscada:*:*:*:*:*:*:*:*
cpe:2.3:a:schneider-electric:ecostruxure_geo_scada_expert_2019:*:*:*:*:*:*:*:*
cpe:2.3:a:schneider-electric:ecostruxure_geo_scada_expert_2020:*:*:*:*:*:*:*:* 83.7742.1 (incluyendo)


Referencias a soluciones, herramientas e información