Múltiples vulnerabilidades en productos de Ovarro

Múltiples vulnerabilidades en productos de Ovarro
cristian.cadenas
Vie, 30/06/2023 – 11:12

Recursos Afectados
  • Las siguientes TBox, en sus versiones 1.50.598 y anteriores, son vulnerables a CVE-2023-36607, CVE-2023-36609, CVE-2023-36610, CVE-2023-36611:
    • TBox MS-CPU32;
    • TBox MS-CPU32-S2;
    • TBox LT2;
    • TBox TG2s;
    • TBox RM2.
  • Las siguientes TBox, en su versión 1.46 hasta 1.50.598, son vulnerables a CVE-2023-36608:
    • TBox MS-CPU32;
    • TBox MS-CPU32-S2;
    • TBox LT2;
    • TBox TG2;
    • TBox RM2.
  • Las siguientes TBox, en todas sus versiones, son vulnerables a CVE-2023-3395:
    • ​TBox MS-CPU32-S2;
    • TBox LT2;
    • TBox TG2;
    • TBox RM2.
Descripción

​Floris Hendriks y Jeroen Wijenbergh, de la Universidad de Radboud, han notificado 6 vulnerabilidades, de las cuales 5 son de severidad media y 1 de severidad alta. La explotación exitosa de estas vulnerabilidades podría resultar en la exposición de información sensible del sistema y la escalada de privilegios.

4 – Alta
Solución

Ovarro recomienda a los usuarios que actualicen los productos afectados descargando la versión más reciente del software desde el sitio web de Ovarro, en la sección «Asistencia al cliente».

Detalle

La vulnerabilidad de severidad alta afecta a las RTU TBox que ejecutan OpenVPN con privilegios de root y pueden ejecutar scripts de configuración definidos por el usuario. Un atacante podría configurar un servidor OpenVPN en local y forzar un script malicioso en el host TBox para adquirir privilegios de root. Se ha asignado el identificador CVE-2023-36609 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad media se han asignado los códigos ​CVE-2023-36607, ​CVE-2023-36608, ​CVE-2023-36610, ​CVE-2023-36611 y ​CVE-2023-3395.

Listado de referencias

Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.