Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/12

Garrantzia: Txikia

Kaltetutako baliabideak:

• IntelliBridge Enterprise (IBE), B.12 eta lehenagoko bertsioak.
• Era berean, IntelliBridge Enterprise-ren sistemaren integrazioa ere kaltetuta dago honakoekin egina dagoenean: 
• • SureSigns (VS4),
  • EarlyVue (VS30),
  • IntelliVue Guardian (IGS).

Azalpena:

Argitaratu den ahultasuna baliatuz, erasotzaile batek erregistro fitxategietako testu lauan gordetako kredentzialak irakur litzake.

Konponbidea:

• Fabrikatzaileak ahultasun hori konponduko duen bertsio berri bat aurreikusita dauka (IBE B.13) 2020ko laugarren hiruhilekorako.
• Ahultasun honen behin-behineko arintze modura, Philipsek ondokoa gomendatzen du: 
• • IBEren transakzioen erregistroak soilik eskura daitezke administratzaile pribilegioekin. IBE sisteman kontu osagarri bat sor daiteke pribilegio mugatuekin, zerbitzu ingeniarientzat.
  • Erregistroen atxikitzea epe onargarri batera murriztea, berreskuratze jarduerak ahalbidetuko dituena.

Xehetasuna:

IntelliBridge Enterprise-n (IBE) jasotzen diren kodifikatu gabeko erabiltzaile kredentzialak transakzioen erregistroetan erregistratzen dira, eta sarbiderako web atari administratiboaren atzean seguru daude. Kaltetutako produktuetatik bidalitako erabiltzaile kredentzial ez zifratuak, Enterprise Systems-ekiko handsake edo autentifikazio ondorioetarako, karga erabilgarri modura erregistratzen dira IntelliBridge Enterprise-n (IBE), transakzioen erregistroen barnean. Pribilegio administratiboak lituzkeen erabiltzaile batek ahultasun hau balia lezake erregistro fitxategietako testu lauan gordetzen diren kredentzialak irakurtzeko. Ahultasun horretarako CVE-2020-12023 identifikatzailea erabili da.

Etiketak: Azpiegitura kritikoak, Ahultasuna