Fecha de publicaciĂłn: 13/01/2023
Importancia:
CrĂtica
Recursos afectados:
- InRouter 302: todas las versiones anteriores a IR302 V3.5.56.Â
- InRouter 615: todas las versiones anteriores a InRouter6XX-S-V2.3.0.r5542.
DescripciĂłn:
Roni Gavrilov, de OTORIO, ha reportado 5 vulnerabilidades que afecta a InRouter302 e InRouter615: 1 de severidad crĂtica, 2 altas y 2 medias. La explotaciĂłn exitosa de estas vulnerabilidades podrĂa permitir la divulgaciĂłn de informaciĂłn confidencial en texto sin cifrar, la inyecciĂłn de comandos del sistema operativo, el uso de un hash unidireccional con un salt predecible, el control de acceso inadecuado y el uso de valores insuficientemente aleatorios.Â
SoluciĂłn:
InHand recomienda a los usuarios que actualicen el firmware del dispositivo afectado a la versiĂłn mĂĄs reciente:Â
- Los usuarios de InRouter302 deben actualizar a IR302 V3.5.56 o posterior.
- Los usuarios de InRouter615 deben actualizar a InRouter6XX-S-V2.3.0.r5542 o posterior.
Detalle:
La vulnerabilidad crĂtica permite que un atacante no autorizado que conozca el nombre de un tema existente del protocolo MQTT podrĂa enviar y recibir mensajes. Esto incluye la capacidad de enviar comandos de configuraciĂłn GET/SET, de reinicio y actualizaciones de firmware. Se ha asignado el identificador CVE-2022-22600 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22597, CVE-2022-22601, CVE-2022-22599 y CVE-2022-22598.
Â
Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂticas, IoT, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.