Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Circontrol-en CirCarLife-n

Argitalpen data: 2018/11/02

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • CirCarLife, 4.3.1 bertsioaren aurreko guztiak

Azalpena:

NewSky Security-ko Ankit Anubhav-ek, KMPG Herbehereak-eko M. Can Kurnaz-ek, Atos-eko Alim Solmaz-ek, WePower Network-eko Michael John-ek eta Verint-eko Gyorgy Miru-k eman dute autentifikazioa saihestearen eta modu eskasean babestutako kredentzialen ahultasun hauen berri. Ahultasun horiek arrakastaz baliatuz gero, urruneko erasotzaile batek testu lauan gordetako kredentzialak eskura litzake, autentifikazioa saihestu eta informazio kritikoa irakurri eta horretara sarbidea lortu.

Konponbidea:

Ahultasun horiek konpontzen dituen softwarearen bertsio berri bat argitaratu du Circontrol-ek, ondoko loturan eskuragarri dagoena:

http://expertarea.circontrol.com/

Xehetasuna:

  • Autentifikazioari ihes egitea: Gailuan egin beharreko autentifikazioa saihets daiteke gune jakin baten URL bat sartuz. Ahultasun horretarako CVE-2018-17928 identifikatzailea erreserbatu da.
  • Babes eskaseko kredentzialak: Gailuaren PAP kredentzialak testu lauan gordetzen dira log fitxategi batean, autentifikaziorik gabeko sarbidea duena. Ahultasun horretarako CVE-2018-17922 identifikatzailea erreserbatu da.
Etiketak: Ahultasuna