Argitalpen data: 2018/07/20
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- SmartServer 1, i.LON 100 eta i.LON 600, bertsio guztiak
- SmartServer 2, 4.11.007 bertsioa baino lehenagoko guztiak
Azalpena:
Echelonek, Daniel Crowley eta
IBMren X-Force Red Teamekin batera, ahultasun hauen berri eman dio
NCCIC/ICS-CERTi. Ahultasun horiek arrakastaz baliatuz gero,
gailuan urrunetik kodea exekutatu liteke.
Konponbidea:
Echelonek kaltetutako
erabiltzaileei gomendatzen die SmartServer 2 Service Pack 7 (4.11.007 bertsioa)
instalatzea CVE-2018-8859, CVE-208-8851 eta CVE-2018-8855en kalteak arintzeko.
Ondoko loturatik deskarga daiteke:
https://www.echelon.com/software-downloads?ele=153-0608-01A
Ondoren azaltzen den eskuzko
arintzea egitea ere gomendatzen du:
CVE-2018-10627rako Echelonek
kaltetutako erabiltzaileei aholkatzen die WebParams.dat fitxategia aldatzea.
SmartServer 2 Service Pack 7
instalatu bitartean, Echelonek ondoren azaltzen den arintzea ezartzea aholkatzen
du:
- SmartServer eta i.LON 600 gailu guztiak, SmartServer eta i.Lon zerbitzuak erabiltzen dituzten zerbitzariekin batera, suebaki baten atzean instalatu behar dira edo beste gailurik gabeko VLAN batean.
- Hasierako instalazioan aldatu kaltetutako produktuen erabiltzaile izena eta pasahitza.
- SmartServer edo i.LON 100en kasuan desgaitu zerbitzu ez zifratuak eta zerbitzu zifratu seguruak.
Xehetasuna:
- Informazioaren agerpena: Erasotzaile batek API SOAP erabil lezake
konfigurazio sentikorreko elementuak berreskuratzeko eta aldatzeko, esate
baterako, web eta FTP zerbitzarien erabiltzaile izenak eta pasahitzak. Ahultasun horrek ez dio eragiten i.LON 600
produktuari. Ahultasun horretarako CVE-2018-10627 identifikatzailea erabili da.
- Autentifikazioa saihestea ordezko
bide edo kanal bat erabiliz: Erasotzaile batek
segurtasuneko konfigurazioaren fitxategian zehaztuta dagoen derrigorrezko
autentifikazioa saihets lezake, direktorioaren izenean karaktere
gehigarriak idatziz sartu nahi den direktorioa zehazteko unean. Ahultasun horrek ez dio eragiten i.LON 600
produktuari. Ahultasun horretarako CVE-2018-8859 identifikatzailea erabili da.
- Kredentzialen biltegiratzea babesik
gabe: Gailuek pasahitzak testu gardenean
gordetzen dituzte, eta ahultasun hori baliatuz konfigurazio fitxategira
sarbidea lukeen erasotzaile batek SmartServer-en web erabiltzailearen
interfazean saioa has lezake. Ahultasun
horretarako CVE-2018-8851 identifikatzailea erabili da.
- Informazio sentikorraren transmisioa
testu gardenean: Gailuek web konexioak zifratu
lehenetsirik gabe baimentzen dituzte eta konfigurazio eta firmware eguneraketak
jaso ditzakete FTP ez-seguruen bidez. Ahultasun horretarako CVE-2018-8855 identifikatzailea erabili da.
Etiketak: Ahultasuna