Exposición de información en PI Coresight y PI Web API de OSIsoft

Fecha de publicación: 
11/01/2017
Importancia: 
3 - Media
Recursos afectados: 
  • PI Coresight 2016 R2 y versiones anteriores.
  • PI Web API 2016 R2 cuando es desplegado usando PI AF Services 2016 R2 integrado en el kit de instalación.
Descripción: 

El investigador de seguridad Vint Maggs de Savannah River Nuclear Solutions ha reportado una vulnerabilidad al fabricante OSIsoft. Su explotación podría permitir a un ataante obtener las contraseñas de servicio en los productos afectados.

Solución: 

Para limitar la exposición el fabricante aconseja quitar la entrada de contraseñas en los log de forma inmediata. Los ficheros de log vulnerables son los siguientes:

  • %pihome%\dat\ SetupCoresight.log
  • %UserProfile%\AppData\Local\temp\ PI_AF_Services_2016_R2*_PIWebAPI.log
  • %ProgramData%\osisoft\setup\log\ PI_AF_Services_2016_R2*_PIWebAPI.log

Si la instalación o actualización se realizó anteriormente, es necesario identificar las cuentas de servicio para los servicios PI afectados y los conjuntos de aplicaciones, además es necesario restablecer la contraseña para las cuentas de servicio afectadas. Los conjuntos de aplicaciones afectados son los siguientes;

  • Conjunto de aplicaciones IIS "CoresightAdminAppPool"
  • Conjunto de aplicaciones IIS "CoresightServiceAppPool"
Detalle: 

La exposición de información a través de ficheros de registro en el servidor, permite que las contraseñas de las cuentas de servicio queden expuestas en los servicios Windows PI Web API y PI Web API Crawler. Este hecho, podría permitir a un atacante no autorizado finalizar los servicios PI afectados, así como la posible reutilización de credenciales del dominio. 

Si se ha utilizado la instalación por defecto, esta vulnerabilidad no afecta a los recursos mencionados. Por otro lado, si se utilizan cuentas de servicio administradas, la vulnerabilidad tampoco afectaría ya que Active Directory sería el encargado de administrar las contraseñas de las cuentas en los servicios PI. 

Se ha reservado el identificador CVE-2017-5153 para esta vulnerabilidad.

Etiquetas: