Fecha de publicación: 20/01/2022
Importancia:
Alta
Recursos afectados:
- Bosch AMC2;
- Bosch AMS < 4.0;
- Bosch APE <= 3.8.x;
- Bosch BIS < 4.9.1.
Descripción:
Bosch ha publicado dos vulnerabilidades, 1 de severidad alta y 1 media, por las que un atacante no autenticado podría descifrar el tráfico de red y cambiar la configuración del dispositivo.
Solución:
Actualizar AMS y BIS a la versión 4.0 o 4.9.1, respectivamente.
Detalle:
- La comunicación con el AMC2 utiliza un algoritmo criptográfico Blowfish para el cifrado simétrico, pero si se recupera la clave del firmware se podría descifrar el tráfico de red entre el AMC2 y el sistema anfitrión. Se necesita tener acceso a la red local, normalmente incluso a la misma subred. Se ha asignado el identificador CVE-2021-23842 para esta vulnerabilidad.
- Las herramientas de software de Bosch AccessIPConfig.exe y AmcIpConfig.exe se utilizan para configurar ciertos ajustes en los dispositivos AMC2. La herramienta permite poner una contraseña de protección en los dispositivos configurados para restringir el acceso a la configuración de un AMC2. Un atacante podría omitir esta protección y realizar cambios no autorizados en los datos de configuración del dispositivo. Se ha asignado el identificador CVE-2021-23843 para esta vulnerabilidad
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.