Múltiples vulnerabilidades en DIALink de Delta Electronics

Fecha de publicación: 22/10/2021

Importancia:
Alta

Recursos afectados:

DIALink, versión 1.2.4.0 y anteriores.

Descripción:

El investigador, Michael Heinzl, ha reportado al CISA cuatro vulnerabilidades de severidad alta y otras seis de severidad media que podrían permitir a un atacante desarrollar un ataque machine-in-the-middle, ejecutar código de forma remota, realizar una escalada de privilegios, tomar el control del sistema, modificar el directorio de instalación o subir archivos maliciosos.

Solución:

Por el momento no existe una solución, aunque el fabricante está trabajando en ello. Se recomienda aplicar las medidas de mitigación detalladas en el apartado 4 del aviso de CISA.

Detalle:

  • El producto afectado trabaja por defecto sobre HTTP, lo que podría permitir realizar un ataque machine-in-the-middle para acceder a información sin autorización. Se ha asignado el identificador CVE-2021-38418 para esta vulnerabilidad de severidad alta.
  • El producto afectado almacena información sensible en texto plano, lo que podría permitir a un atacante acceder a la aplicación y realizar una escalada de privilegios. Se ha asignado el identificador CVE-2021-38422 para esta vulnerabilidad de severidad alta.
  • El producto afectado carga librerías de forma insegura, lo que podría permitir a un atacante el secuestro de DLL y tomar el control del sistema en el que el software esté instalado. Se ha asignado el identificador CVE-2021-38416 para esta vulnerabilidad de severidad alta.
  • El producto afectado ofrece por defecto amplios privilegios a cuentas de usuario con pocos privilegios, lo que podría permitir a un atacante modificar el directorio de instalación y cargar archivos maliciosos. Se ha asignado el identificador CVE-2021-38420 para esta vulnerabilidad de severidad alta.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38428, CVE-2021-38488, CVE-2021-38407, CVE-2021-38403, CVE-2021-38411 y CVE-2021-38424.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.