Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Entes-en EMG 12-n

Argitalpen data: 2018/10/03

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Gateways EMG12 Ethernet Modbus-en firmwarea, 2.57 eta lehenagoko bertsioak

Azalpena:

Biznet Bilisim-eko Can Demirel ikertzaileak autentifikazio desegoki eta informazioaren agerpen erako hainbat ahultasunen berri eman du. Horiek baliatuz erasotzaile batek baimenik gabeko sarbidea lor lezake edo gailuen konfigurazioak alda litzake.

Konponbidea:

  • Entes EMGk erabiltzaileei aholkatzen die eskuragarri dagoen firmwarearen azken bertsiora eguneratzea.

Xehetasuna:

  • Aplikazioak erabiltzen duen web interfazean posible da erasotzaile batek autentifikazioa saihestea bereziki diseinatutako URL baten bidez. Honek kodea urrunetik exekutatzea ahalbidetu lezake. Ahultasun horretarako CVE-2018-14826 identifikatzailea erabili da.
  • Web interfazeak duen kontsulten kate erako ahultasunaren bidez informazioaren agerpena gertatzen dela ikusi da. Hori baliatuz erasotzaile batek erabiltzaile legitimo bat ordezka lezake eta kode arbitrarioa exekutatu. Ahultasun horretarako CVE-2018-14822 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna