Múltiples vulnerabilidades en productos InHand Networks

Fecha de publicación: 13/01/2023

Importancia:
Crítica

Recursos afectados:

  • InRouter 302: todas las versiones anteriores a IR302 V3.5.56. 
  • InRouter 615: todas las versiones anteriores a InRouter6XX-S-V2.3.0.r5542.

Descripción:

Roni Gavrilov, de OTORIO, ha reportado 5 vulnerabilidades que afecta a InRouter302 e InRouter615: 1 de severidad crítica, 2 altas y 2 medias. La explotación exitosa de estas vulnerabilidades podría permitir la divulgación de información confidencial en texto sin cifrar, la inyección de comandos del sistema operativo, el uso de un hash unidireccional con un salt predecible, el control de acceso inadecuado y el uso de valores insuficientemente aleatorios. 

Solución:

InHand recomienda a los usuarios que actualicen el firmware del dispositivo afectado a la versión más reciente: 

Detalle:

La vulnerabilidad crítica permite que un atacante no autorizado que conozca el nombre de un tema existente del protocolo MQTT podría enviar y recibir mensajes. Esto incluye la capacidad de enviar comandos de configuración GET/SET, de reinicio y actualizaciones de firmware. Se ha asignado el identificador CVE-2022-22600 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22597, CVE-2022-22601, CVE-2022-22599 y CVE-2022-22598.
 

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, IoT, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.