Múltiples vulnerabilidades en productos Advantech

Descripción

Advantech ha publicado múltiples vulnerabilidades en sus productos que podrían permitir a un atacante ejecutar código arbitrario, divulgar información y borrar archivos.

  • CVE-2021-22667: El uso de contraseñas embebidas podría permitir a un atacante ganar acceso no autorizado y ejecutar código arbitrario.
  • CVE-2019-18233: La falta de neutralización de los caracteres especiales en la respuesta de error, podría permitir a los atacantes llevar a cabo ataques del tipo XSS reflejado.
  • CVE-2019-18231: El inicio de sesión y la contraseña se transmiten en texto claro, lo que podría permitir a un atacante interceptar la solicitud.
  • CVE-2019-18235: Los parámetros insuficientes de autenticación requeridos en el inicio de sesión para la aplicación web, podrían permitir a un atacante obtener un acceso completo utilizando un ataque de fuerza bruta a la contraseña.
  • CVE-2018-20679, CVE-2016-6301 y CVE-2015-9261: La utilización de una versión obsoleta del cifrado de contraseñas de BusyBox, podría permitir a un atacante descubrir las contraseñas.
  • CVE-2016-2842, CVE-2016-0799 y CVE-2016-6304: La utilización de una versión no actualizada de OpenSSL, podría permitir a un atacante explotar vulnerabilidades conocidas en OpenSSL.

Recursos afectados

  • Switches ethernet industriales BB-ESWGP506-2SFP-T, versiones 1.01.09 y anteriores.
  • Router industrial Spectre RT ERT351, versiones de firmware 5.1.3 y anteriores.

Solución

  • El producto BB-ESWGP506-2SFP-T se encuentra fuera de su vida útil, el fabricante recomienda sustituirlo por un modelo posterior, por ejemplo el EKI-7708-4FPI.
  • Para Spectre RT ERT351, actualizar a la versión 6.2.7 o posteriores.

Referencias

ICS Advisory (ICSA-21-054-02) Advantech BB-ESWGP506-2SFP-T
ICS Advisory (ICSA-21-054-03) Advantech Spectre RT Industrial Routers

Artículos relacionados

Etiqueta Seresco