Fecha de publicación: 03/08/2022
Importancia:
Crítica
Recursos afectados:
Servidor web muhttpd, empleado en equipos de cliente (CPE) de ISP, principalmente en el firmware de Arris utilizado en los modelos de router (listado no completo):
- NVG443,
- NVG599,
- NVG589,
- NVG510,
- BGW210,
- BGW320.
Las búsquedas en Internet revelaron 19.000 routers vulnerables conectados a la Red.
Descripción:
El investigador, Derek Abdine, ha publicado una investigación en la que se identifican 3 vulnerabilidades, que afectan a varios modelos de routers Arris, de tipo limitación incorrecta de la ruta a un directorio restringido, desreferencia a puntero nulo y desbordamiento de búfer.
Solución:
- Vulnerabilidad de path traversal (CVE-2022-31793): detener el servidor web, o utilizar un cortafuegos para evitar el acceso a redes no confiables (Internet, LAN). En el caso de los gateways basados en Arris afectados, desactivar la gestión remota, o utilizar un cortafuegos para los puertos de acceso remoto desde Internet. Para los usuarios habituales de muhttpd, actualizar a la versión 1.1.7.
- Respecto a las otras 2 vulnerabilidades sin CVE asignado: desactivar el acceso remoto o emplear un cortafuegos para los puertos de acceso remoto desde Internet.
Detalle:
- La vulnerabilidad path traversal podría permitir a un atacante remoto, no autentificado, o a cualquier usuario local, recorrer las rutas de directorios desde la raíz del sistema de archivos. Se ha asignado el identificador CVE-2022-31793 para esta vulnerabilidad.
- Las otras 2 vulnerabilidades podrían causar un fallo de segmentación que provocase el bloqueo del programa, o un desbordamiento de búfer al cambiar las URL.
Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.