Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 12/04/2019

Importancia: Crítica

Recursos afectados:

• Series 750-88x con firmware anterior a la versión 14:
  • 750-330
  • 750-352/
  • 750-829
  • 750-831
  • 750-852
  • 750-880/
  • 750-881
  • 750-882
  • 750-884/
  • 750-885
  • 750-889
• Series 750-87x
  • 750-830 con firmware anterior a la versión FW06.
  • 750-849 con firmware anterior a la versión FW08.
  • 750-871 con firmware anterior a la versión FW11.
  • 750-872 con firmware anterior a la versión FW07.
  • 750-873 con firmware anterior a la versión FW07.

Descripción:

El investigador de seguridad Jörn Schneeweisz del CERT-Bund ha coordinado esta vulnerabilidad junto con el propio CERT-Bund. Esta vulnerabilidad de tipo uso de contraseñas embebidas, podría permitir a un atacante remoto cambiar las configuraciones del dispositivo o de la aplicación del mismo.

Solución:

• Se aconseja actualizar el dispositivo a la última versión de firmware disponible en función del dispositivo afectado y de la versión de firmware vulnerable.
• En caso de no poder actualizar la versión de firmware, se aconseja seguir las siguientes pautas:
  • Restringir el acceso a la red donde se encuentra el dispositivo afectado con el servidor web activo.
  • Restringir el acceso al propio dispositivo.
  • No proporcionar accesos directos desde Internet al dispositivo.

Detalle:

• El uso de contraseñas embebidas podría permitir a un atacante cambiar la configuración del dispositivo y acceder con privilegios a la administración de la web para bloquear a otros usuarios del dispositivo, abrir puertos de red previamente cerrados, utilizar el servicio FTP, intercambiar la aplicación o eliminarla. Se ha reservado el identificador CVE-2019-10712 para esta vulnerabilidad.

Etiquetas: Navegador, Vulnerabilidad