Path Traversal en ConacWin CB (Setelsa)
Identificamos un fallo de path traversal sin autenticación en ConacWin CB, el software de gestión de control de accesos físicos de Setelsa Security. Un atacante remoto podía descargar ficheros arbitrarios del servidor a través de un parámetro vulnerable. El fabricante corrigió el problema en la versión 3.8.2.3.
Datos del advisory
- CVSS v3.1
- 7.5
- CWE
- CWE-22 · CWE-23
- Severidad
- High
- Fabricante
- Setelsa Security
- Producto
- ConacWin CB
- Versiones afectadas
- 3.8.2.2 y anteriores
- Versión parcheada
- 3.8.2.3
- Estado
- Parcheada por el fabricante
- Descubierto por
- Agustín Picazo
- Publicación NVD
- 2023-10-04
- Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Resumen rápido
Un atacante remoto sin credenciales podía descargar ficheros del sistema operativo del servidor que aloja ConacWin CB enviando rutas relativas (`../`) a través del parámetro de descarga de ficheros del producto. Setelsa Security publicó la versión 3.8.2.3 con la corrección. El advisory está catalogado en NVD, GitHub Security Advisories e INCIBE-CERT.
Por qué importa
ConacWin CB es una pieza de software muy concreta: gestiona el control de accesos físicos de edificios e instalaciones (lectores de tarjetas, tornos, cerraduras electromagnéticas). El servidor que lo aloja suele estar dentro de la red corporativa, integrado con el directorio activo y, en algunos despliegues, con sistemas de videovigilancia o gestión de alarmas.
Una vulnerabilidad de descarga arbitraria de ficheros sobre un sistema con ese rol no es "sólo" un problema de fuga de datos. Significa que cualquiera con acceso a la red (o a Internet, si la consola estaba expuesta) podía recuperar el binario del propio servicio, ficheros de configuración con cadenas de conexión, claves o tokens, e incluso copias de la base de datos donde residen las identidades autorizadas a entrar al edificio.
Dicho de otra manera: empezar por una descarga arbitraria con CVSS 7,5 termina, en muchos casos, en credenciales de servicio expuestas, conocimiento detallado de la topología de control de accesos y ruta de pivote hacia sistemas adyacentes. Es un buen recordatorio de que clasificar un bug como "information disclosure" subestima sistemáticamente su impacto cuando el activo afectado es crítico.
Detalle técnico
El fallo se cataloga bajo CWE-22 (Improper Limitation of a Pathname to a Restricted Directory) y CWE-23 (Relative Path Traversal). El producto exponía una funcionalidad de descarga de ficheros que tomaba el nombre del fichero a entregar desde la entrada del usuario sin canonicalizar la ruta ni validar que el resultado quedara dentro de un directorio permitido.
El vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N es transparente: ataque por red (AV:N), complejidad baja (AC:L), sin privilegios previos (PR:N), sin interacción del usuario (UI:N), confidencialidad alta (C:H) y sin impacto sobre integridad ni disponibilidad. La puntuación de 7,5 lo coloca en el tramo HIGH del rango, no por casualidad: la combinación de "sin autenticación + sin interacción + confidencialidad alta" es exactamente lo que hace que estos bugs entren en boletines automatizados de NVD y CISA.
Aplicando el principio de divulgación responsable, no publicamos el endpoint exacto ni un PoC explotable. La explotación canónica de un path traversal se hace recorriendo directorios con secuencias `../` codificadas o no codificadas hasta alcanzar rutas como `/etc/shadow` en Linux o `C:\Windows\System32\config\SAM` en Windows. En el caso concreto de ConacWin CB, el objetivo natural eran los ficheros de configuración del propio servicio y la base de datos local.
Lectura del vector CVSS
Estos son los componentes que llevan el vector hasta 7,5 puntos y que justifican el clasificarlo como HIGH.
AV:N (Network)Atacante remoto
Si la consola del producto era alcanzable desde la red, el ataque se ejecuta directamente sobre HTTP.
AC:L · PR:N · UI:NSin barreras
Complejidad baja, sin credenciales y sin necesidad de que ningún usuario haga clic en nada. Apuntar y disparar.
C:H (High)Confidencialidad alta
Cualquier fichero accesible al usuario que ejecute el servicio podía descargarse. En despliegues típicos, esto incluye configuración con secretos.
I:N · A:NSin escritura ni denegación
El bug por sí solo no permitía modificar ficheros ni tirar el servicio. El daño se materializa al encadenarlo con la información expuesta.
Cronología de divulgación
Q2 2023
Agustín Picazo (Black Giraffe / Secra) identifica la vulnerabilidad durante un análisis de productos de control de accesos.
Q2 2023
Reporte detallado a Setelsa Security a través de canal oficial.
13-jul-2023
Publicación del aviso de INCIBE-CERT en español.
Q3 2023
Setelsa Security libera la versión 3.8.2.3 con la corrección.
04-oct-2023
Publicación oficial en NVD (CVE-2023-3512) y GitHub Security Advisories (GHSA-v6jm-v768-76h2).
Mitigación y recomendaciones
La corrección oficial es actualizar a ConacWin CB 3.8.2.3 o superior. El parche del fabricante implementa la validación de la ruta solicitada y la canonicalización para asegurar que el resultado queda dentro del directorio permitido.
Si por alguna razón operativa la actualización no es inmediata, las defensas compensatorias razonables son aislamiento de red de la consola del producto (listas blancas de IP, VPN obligatoria), un WAF en modo bloqueo para patrones de path traversal, y rotación inmediata de cualquier secreto que hubiera podido vivir en los ficheros de configuración del servicio mientras el bug fue explotable.
A nivel arquitectura, este caso ilustra por qué las consolas de gestión de productos de seguridad física no deberían vivir nunca en el segmento de red general de la oficina. Una consola comprometida del control de accesos puede usarse para abrir físicamente un edificio o, peor, para cubrir las huellas borrando logs de entrada.
Checklist de cierre
- 1Actualizar ConacWin CB a la versión 3.8.2.3 o superior.
- 2Restringir el acceso a la consola del producto a una VLAN de gestión, sólo accesible vía VPN o bastión.
- 3Rotar cualquier credencial almacenada en ficheros de configuración del servicio en versiones anteriores al parche.
- 4Revisar logs del servicio buscando peticiones con secuencias `../`, `..%2f`, `..%252f` durante la ventana de exposición.
- 5Asegurar que los logs de la consola se replican fuera del propio servidor (un atacante con descarga arbitraria suele también poder leer y, eventualmente, sobrescribirlos).
Qué significa esto si gestionas el control de accesos de una empresa
El software de control de accesos físicos a menudo cae fuera del scope de las auditorías clásicas, que se centran en aplicaciones web públicas o infraestructura de servidores. Es un punto ciego: el equipo de IT lo trata como "sistema operativo del proveedor", el equipo de facilities lo trata como "problema de IT". Resultado, suele desplegarse y olvidarse durante años hasta que un advisory como este lo pone otra vez sobre la mesa.
Cuando hacemos auditoría de infraestructura para nuestros clientes, este tipo de consolas (control de accesos, videovigilancia, gestión de alarmas, building automation) aparecen sistemáticamente entre los hallazgos de mayor impacto: software propietario antiguo, contraseñas por defecto, segmentación de red débil. Trasladar el modelo de pentesting infraestructura tradicional a estos activos suele ser donde más se mueve la aguja, mucho más que cazar otra Wordpress sin actualizar.
Sobre el descubridor
El advisory lo firma Agustín Picazo (alias Black Giraffe), CTO y co-fundador de Secra Solutions, certificado OSCP, OSEP, CRTO, CRTL y CARTE. Agustín lidera el área de red team y desarrollo de malware ofensivo de la firma y mantiene una línea continuada de research sobre productos de seguridad física e industriales.
Ver equipo de Secra¿Cuándo fue la última vez que alguien auditó tus consolas de gestión?
Auditamos infraestructura interna y externa con foco real en el activo que más duele: directorio activo, software propietario, consolas de seguridad física e integraciones cloud. Hallazgos con prueba de concepto y plan de remediación priorizado.