Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Vecna VGo Robot sistemetako ahultasunak

Argitaratze-data: 2018/04/25

Garrantzia: Handia

Kaltetutako baliabideak:

  • VGo Robot, 3.0.3.52164 bertsioaren aurreko guztiak.

Azalpena:

Zingbox-eko Dan Regalado ikertzaileak hainbat ahultasun atzeman ditu, komando injekzio eta datuen transmisio motakoak, Vecnaren VGo Robot produktuei eragiten dietenak. Urrutiko erasotzaile batek sarean egindako firmware eguneratzeak bahitu litzake eta kodearen urrutiko exekuzioa burutu.

Konponbidea:

Vecnak gomendatutako eguneraketa bat argitaratu du, ahultasun horiek arintzeko. Eguneraketa prozesu hau gomendatzen du.

  • VGo-k eguneratze automatikoak ditu aktibatuta, beraz, eguneratze guztiak automatikoki egiten dira, Interneterako sarbidea eskuragarri dagoenean. VGo itzalita edo erabiltzen ari bada, pantailan mezu bat agertuko da eta hurrengo erabileran eguneratu daitekeen galdetuko du.
  • VGo unitate batek eguneratze automatikoak desaktibatuta baditu, eguneraketa ez da deskargatuko (hala ere, eguneratzeari buruzko abisu bat agertuko da VGo-ren pantailan). Vecnak gomendatzen du eguneraketa automatikoak aktibatuta edukitzeko.

Xehetasuna:

  • Komandoen injekzioa: Ondoko sareetako erasotzaile batek komandoen injekzio bat burutu lezake. Ahultasun horretarako CVE-2018-8866 identifikatzailea erreserbatu da.
  • Transmisioa: Erasotzaile batek firmware eguneraketak bahitu litzake ondoko sare batetik. Ahultasun horretarako CVE-2018-8860 identifikatzailea erreserbatu da.

Etiketak: Eguneratzea, Ahultasuna