Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Evasión de autenticación por reinyección de tráfico en productos de Hetronic

Fecha de publicación: 04/01/2019

Importancia: Alta

Recursos afectados:

  • Transmisores
    • Nova-M, todas las versiones anteriores a la r161
  • Receptores
    • ES-CAN-HL, todas las versiones anteriores a Main r1864 y Estop_v24
    • BMS-HL, todas las versiones anteriores a Main r1175 y Estop_v24
    • MLC, todas las versiones anteriores a Main r1600 y Estop_v24
    • DC Mobile, todas las versiones anteriores a Main r515 y Estop_v24

Descripción:

Los investigadores Jonathan Andersson, Philippe Z Lin, Akira Urano, Marco Balduzzi, Federico Maggi, Stephen Hilt y Rainer Vosseler en colaboración con ZDI de Trend Micro, han reportado una vulnerabilidad de tipo evasión de autenticación al NCCIC. La explotación exitosa de esta vulnerabilidad, podría permitir a un atacante que tenga acceso a la red donde se encuentran los dispositivos afectados reinyectar tráfico y enviar mensajes arbitrarios o mantener un estado de ?stop? en los mismos.

Solución:

Hetronic recomienda a todos los clientes de Nova-M actualizar el firmware:

  • Transmisores
    • Nova-M, actualizar a la versión r161
  • Receptores
    • ES-CAN-HL, actualizar a la versión Main r1864 y Estop_v24
    • BMS-HL, actualizar a la versión Main r1175 y Estop_v24
    • MLC, actualizar a la versión Main r1600 y Estop_v24
    • DC Mobile, actualizar a la versión Main r515 y Estop_v24

Para solicitar una versión de firmware debe ponerse en contacto con Hetronic.

Detalle:

  • Los dispositivos afectados utilizan códigos fijos que podrían permitir a un atacante reproducirlos mediante la captura y retransmisión de tráfico, siempre y cuando este se encuentre en la misma red que los dispositivos afectados. Esto permitiría a un atacante mediante la reinyección de paquetes, suplantar mensajes o mantener la carga controlada en un estado de ?stop? permanente. Se ha reservado el identificador CVE-2018-19023 para esta vulnerabilidad.

Etiquetas: Actualización, Comunicaciones, Vulnerabilidad