Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Autentifikazioaren eta sarbideen kontrolaren kudeaketa okerra Tecson/GOK produktuetan

Argitalpen data: 2019/06/05

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • LX-Net
  • LX-Q-Net
  • e-litro net
  • SmartBox4 LAN
  • SmartBox4 pro LAN

Azalpena: 

Maxim Rupp (rupp.it) ikertzaileak Tecson/GOK produktuek duten ahultasun baten berri eman du, sarbideen kontrola eta autentifikazioa kudeatzeko moduari eragiten diona.

Konponbidea: 

  • Gailuen firmwarea 6.3.x bertsioa baino berriago batera eguneratzea

Xehetasuna:

  • Aplikazioak ez ditu modu egokian kudeatzen web baliabideetarako sarbideak, eta hainbat baliabidetarako sarbidea ahalbidetzen du autentifikazioaren beharrik gabe. Ahultasun hori baliatuz urruneko erasotzaile batek web zerbitzariaren bide zehatzetan (URL) kokatutako baliabideetara sarbidea lor lezake, autentifikatuta egon behar izan gabe. Baliabide horietarako sarbide zuzenak web zerbitzaria osorik kontrolatzea ahalbidetzen du, eta horrela konfigurazioan eta gailuen ezarpenetan, adibidez pasahitz, parametro edo alertetan, aldaketak egin daitezke. Ahultasun horretarako CVE-2019-12254 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna