Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en la puerta de enlace de la API EdgeX en la autenticación OAuth2EdgeX en Foundry (CVE-2021-32753)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/07/2021
Última modificación:
14/07/2021

Descripción

EdgeX Foundry es un proyecto de código abierto para construir un framework abierto común para la computación de borde de la Internet de las cosas. Se presenta una vulnerabilidad en las versiones Edimburgo, Fuji, Ginebra y Hanoi del software. Cuando la puerta de enlace de la API EdgeX está configurada para la autenticación OAuth2 y es creado un usuario proxy, el client_id y el client_secret requeridos para obtener un token de autenticación OAuth2 se ajustan con el nombre de usuario del usuario proxy. Un atacante remoto de la red puede entonces llevar a cabo un ataque de contraseña basado en diccionario en el endpoint del token OAuth2 de la puerta de enlace de la API para obtener un token de autenticación OAuth2 y usar ese token para hacer llamadas autenticadas a los microservicios de EdgeX desde una red no confiable. OAuth2 es el método de autenticación predeterminado en la versión de EdgeX Edinburgh. El método de autenticación predeterminado fue cambiado a JWT en Fuji y versiones posteriores. Los usuarios deben actualizar a versión de EdgeX Ireland para obtener la corrección. El método de autenticación OAuth2 está deshabilitado en la versión Ireland. Si no se puede actualizar y es requerida la autenticación OAuth2, los usuarios deben crear usuarios OAuth2 directamente usando la API de Kong admin y renunciar al uso de la herramienta "security-proxy-setup" para crear usuarios OAuth2

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:edgexfoundry:edgex_foundry:*:*:*:*:*:*:*:* 1.0.0 (incluyendo) 2.0.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información