Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Zipabox de Zipato

Fecha de publicación: 09/08/2018

Importancia: Alta

Recursos afectados:

  • Zipato Zipabox (smart home controller)

Descripción:

Andrey Muravitsky, del Critical Infrastructure Defense Team de Kaspersky Lab ICS CERT ha reportado varias vulnerabilidades a Zipato. Un atacante remoto podría obtener información sensible que expandiera la superficie de ataque, explotara una vulnerabilidad o extrajera sin autenticación, contraseñas en texto en claro pudiendo llegar a tomar el control de todo el hogar inteligente gestionado por los dispositivos afectados.

Solución:

Por el momento no se encuentra ninguna solución disponible.

Detalle:

  • Divulgación de información sensible: un atacante sin autenticación podría ser capaz de extraer información sensible sobre los dispositivos Zipabox disponibles y su información técnica. Se ha asignado el identificador CVE-2018-15125 para esta vulnerabilidad.
  • Algoritmo de hash débil: un atacante sin autenticación podría aprovechar esta vulnerabilidad para extraer contraseñas de texto en claro. Se ha asignado el identificador CVE-2018-15124 a esta vulnerabilidad.
  • Almacenamiento de configuración inseguro: un atacante sin autenticación podría aprovechar esta vulnerabilidad para tomar el control de todo el hogar inteligente. Se ha asignado el identificador CVE-2018-15123 para esta vulnerabilidad.

Etiquetas: Privacidad, Vulnerabilidad