Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en un cifrado roto en la transformación "AES" de app-functions-sdk en el SDK de funciones para EdgeX (CVE-2021-41278)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
19/11/2021
Última modificación:
23/11/2021

Descripción

El SDK de funciones para EdgeX está destinado a proporcionar toda la fontanería necesaria para que los desarrolladores se inicien en el procesamiento/transformación/exportación de datos de la plataforma EdgeX IoT. En las versiones afectadas, un cifrado roto en la transformación "AES" de app-functions-sdk en las versiones de EdgeX Foundry anteriores a Jakarta permite a atacantes descifrar mensajes por medio de vectores no especificados. El app-functions-sdk exporta una transformación "aes" a la que los scripts de usuario pueden llamar opcionalmente para cifrar datos en la cadena de procesamiento. No es proporcionada ninguna función de descifrado. El cifrado no está habilitado por defecto, pero si es usado, el nivel de protección puede ser menor de lo que el usuario espera debido a una implementación rota. La versión v2.1.0 (versión EdgeX Foundry Jakarta y posteriores) de app-functions-sdk-go/v2 deja de lado la transformación "aes" y proporciona una transformación "aes256" mejorada en su lugar. La implementación rota permanecerá en un estado obsoleto hasta que sea eliminada en la próxima versión mayor de EdgeX para evitar la ruptura del software existente que depende de la implementación rota. Como la transformación rota es una función de biblioteca que no es invocada por defecto, los usuarios que no usan la transformación AES en sus procesos no están afectados. Se insta a los afectados a que actualicen a la versión de Jakarta EdgeX y a que modifiquen las cadenas de procesamiento para usar la nueva transformación "aes256"

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:H/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: AV:N/AC:H/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
2.60
Gravedad 2.0
BAJA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:edgexfoundry:app_service_configurable:*:*:*:*:*:go:*:* 2.1.0 (excluyendo)
cpe:2.3:a:edgexfoundry:application_functions_software_development_kit:*:*:*:*:*:go:*:* 2.1.0 (excluyendo)
cpe:2.3:a:edgexfoundry:edgex_foundry:*:*:*:*:*:*:*:* 2.1.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información