Ningún desarrollo tecnológico está completamente exento de sufrir alguna falla de seguridad. Un reporte de los participantes de un curso de hacking menciona el hallazgo de al menos diez vulnerabilidades críticas en el sistema de videovigilancia Siemens SiNVR 3.
El mencionado sistema se ve afectado por diversas fallas explotables que van desde inyecciones SQL, ataques XSS, errores de validación de entrada, entre otras. A continuación se muestra una breve explicación de las vulnerabilidades más peligrosas encontradas.
Trayectoria transversal: Esta es una vulnerabilidad de severidad media que existe debido a un error de validación de entrada al procesar secuencias transversales de directorio. Un actor de amenazas remoto podría enviar una solicitud HTTP maliciosa para leer archivos arbitrarios en el sistema.
Esta falla fue identificada como CVE-2019-19290 y por el momento no hay parches o soluciones alternativas posibles, mencionan los miembros del curso de hacking.
Almacenamiento de información confidencial en texto sin cifrar: Esta falla de severidad media, identificada como CVE-2019-19291, existe debido a una función habilitada por defecto en el producto afectado. Un hacker remoto podría acceder a información altamente sensible sin encontrar mayores obstáculos en el sistema si el servicio FTP está habilitado.
Inyección SQL: Identificada como CVE-2019-19292, permite a los hackers remotos enviar solicitudes especialmente diseñadas a la aplicación afectada para ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.
Esta es una falla de alta severidad, pues su explotación exitosa permite a los actores de amenazas leer, eliminar o modificar los datos y obtener control de la base de datos afectada. Al igual que con los anteriores reportes, no se conocen métodos para mitigar el riesgo de explotación aún.
Ataques XSS: Esta falla, identificada como CVE-2019-19293, permitiría a los hackers remotos realizar ataques XSS redirigiendo a las víctimas con enlaces especialmente diseñados para posteriormente ejecutar código arbitrario en el navegador del usuario objetivo.
De ser explotada, esta falla permitiría realizar ataques de phishing, extraer información confidencial, mostrar malvertising, entre otras actividades maliciosas; cabe mencionar que el riesgo de explotación de esta falla es bajo, reportan los expertos del curso de hacking.
Registro insuficiente: Identificada como CVE-2019-19295, esta vulnerabilidad permite a los hackers remotos comprometer el sistema objetivo realizando diversas acciones maliciosas de forma sigilosa. No existe una mitigación conocida.
Problemas criptográficos: Esta vulnerabilidad existe debido a la debilidad del cifrado en el producto afectado, y permite a los actores de amenazas remotos descifrar las contraseñas en el sistema. La falla fue identificada como CVE-2019-19229.
El Instituto Internacional de Seguridad Cibernética (IICS) recuerda a los usuarios de implementaciones afectadas que no hay parches de seguridad o soluciones alternativas disponibles, por lo que se recomienda permanecer al tanto de los anuncios oficiales de la compañía.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
