Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/03

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

Grid Solutions Reason RT Clocks RT430, RT431 eta RT434, 08A05 bertsioaren aurreko firmware bertsio guztiak.

Deskripzioa: 

IOActive-ko Ehab Husseinek ahultasun kritiko baten berri eman zion GE fabrikatzaileari. Egiaztatze falta arloko ahultasuna somatu zuen Grid Solutions Reason RT Clocks markaren hainbat bertsiotan.

Konponbidea: 

Fabrikatzaileak gomendatu du kaltetutako produktuen firmware bertsioa 08A05era eguneratzea.

Xehetasuna: 

Ahultasun horren ondorioz, egiaztatu gabeko erasotzaile batek komando arbitrarioak exekutatu litzake eta URL espezifiko batera eskaera bat bidali. Horrela, gailuak erantzuteari utziko lioke. Erabiltzailearen configuration kontuaren pasahitza aldatu lezake, horrela, gailuaren konfigurazioa aldatu ahal izango luke web interfazearen bidez, pasahitz berria erabiliz, edo eskatutako egiaztatzea alde batera utziko litzateke gailua konfiguratu eta sistema berrabiarazteko. Ahultasun horretarako, CVE-2020-12017 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Ahultasuna.