Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kraftway-ren Kraftway-24F2XG routerrean hainbat ahultasun

Argitalpen data: 2018/08/20

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Kraftway-24F2XG, firmwarearen 3.5.30.1118 bertsioa

Azalpena:

Kaspersky Lab ICS CERTeko Alexander Nochvay eta Andrey Muravitsky ikertzaileek era ezberdineko ahultasunen berri eman dute: zerbitzuaren ukapena, SSL zifratu ahula, bufferraren gainezkatzea eta kredentzialak lehenetsita. Ahultasun horiei esker, urruneko erasotzaile batek zerbitzuaren ukapena eragin lezake, routerrera sartzeko pribilegioak lortu, urrunetik kode gaiztoa exekutatu edo eskualdatutako informazioa deszifratu.

Konponbidea:

  • Firmwarearen 3.5.47-315-gef7 eta goragoko bertsioetara eguneratzea gomendatzen da.

Xehetasuna:

  • Kaltetutako gailuan autentifikatu gabeko urruneko erasotzaile batek administratzaile pribilegioak eskura litzake routerrera sartzeko lehenetsitako kredentzialak erabiliz. Ahultasun horretarako CVE-2018-15350 identifikatzailea erabili da.
  • Urruneko erasotzaile batek lotura gaizto bat sor lezake eta kaltetutako routerraren barnean pribilegioak dituen erabiltzaile bati (biktima) bidali, zerbitzuaren ukapena sortzeko. Ahultasun horretarako CVE-2018-15351 identifikatzailea erabili da.
  • Pribilegio gutxi dituen urruneko erasotzaile batek kaltetutako gailuan zerbitzuaren ukapena eragin lezake. Ahultasun horretarako CVE-2018-15352 identifikatzailea erabili da.
  • Web interfazeak bufferraren gainezkatzearen bi ahultasun ditu. Horiek baliatuz erasotzaile batek zerbitzuaren ukapena eragin lezake edo urruneko kodea exekutatu. Ahultasun horietarako CVE-2018-15353 eta CVE-2018-15354 identifikatzaileak erabili dira.
  • SSLren 2 eta 3 bertsioek komunikazioek duten zifratuaren sendotasunarekin zerikusia duten ahultasunak dituzte. Erasotzaile batek ahultasun hori balia lezake eskualdatutako informazioa deszifratzeko Man-in-the-Middle bezalako eraso teknikak erabiliz. Ahultasun horretarako CVE-2018-15355 identifikatzailea erabili da.
Etiketak: Komunikazioak, Pribatutasuna, Ahultasuna