Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Desbordamiento de búfer en múltiples productos de Hirschmann

Fecha de publicación: 01/04/2020

Importancia: Crítica

Recursos afectados:

  • Los dispositivos RSP, RSPE, RSPS, RSPL, MSP, EES, EES, EESX, GRS, OS, RED que emplean HiOS en la versión 07.0.02 y anteriores.
  • Los dispositivos EAGLE20/30, que emplean HiSecOS en la versión 03.2.00 y anteriores.

Descripción:

Los investigadores Sebastian Krause y Toralf Gimpel, de GAI NetConsult GmbH, han reportado una vulnerabilidad de severidad crítica que afecta a múltiples productos de Hirschmann. Un atacante remoto, no autenticado, podría realizar un desbordamiento de búfer y comprometer el dispositivo.

Solución:

  • Actualizar los productos que utilizan HiOS a la versión 07.0.03 o superior.
  • Actualizar los productos que utilizan HiSecOS a la versión 03.3.00 o superior.

Detalle:

La vulnerabilidad se debe a un análisis inapropiado de los argumentos del URL. Un atacante podría explotar esta vulnerabilidad creando específicamente solicitudes HTTP para desbordar un búfer interno. Se ha reservado el identificador CVE-2020-6994 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad