Fecha de publicación: 04/11/2022
Importancia:
Alta
Recursos afectados:
- ASIK 474021A.101;
- ASIK 474021A.102 (no está afectado por CVE-2022-2484).
Descripción:
Joel Cretan, investigador de Red Balloon Security, ha reportado 3 vulnerabilidades de severidad alta en el producto ASIK AirScale 5G Common System Module de Nokia, cuya explotación podría permitir a un atacante la ejecución de un kernel malicioso, programas maliciosos arbitrarios o programas modificados.
Solución:
Nokia ha publicado notas de soporte técnico que contienen instrucciones de mitigación para los usuarios afectados, quienes deben ponerse en contacto con el fabricante para recibir más información.
Detalle:
- Una vulnerabilidad en el módulo del sistema ASIK AirScale de Nokia podría permitir a un atacante situar un script en el sistema de archivos accesible desde Linux con el que ejecutar código arbitrario en el bootloader. Se ha asignado el identificador CVE-2022-2482 para esta vulnerabilidad.
- La comprobación de la firma en el módulo del sistema Nokia ASIK AirScale podría omitirse, permitiendo a un atacante ejecutar firmware malicioso. Se ha asignado el identificador CVE-2022-2484 para esta vulnerabilidad.
- El bootloader del módulo del sistema Nokia ASIK AirScale carga claves públicas para la firma de verificación del firmware. Si un atacante modifica el contenido para corromper las claves, el arranque seguro podría quedar permanentemente desactivado. Se ha asignado el identificador CVE-2022-2483 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.