Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en AWK-3131A Series de MOXA

Fecha de publicación 24/02/2020
Importancia
4 - Alta
Recursos Afectados

AWK-3131A Series, versiones del firmware 1.13 y anteriores.

Descripción

Se han reportado una serie de vulnerabilidades, en productos de Moxa, del tipo control de acceso inapropiado, uso de contraseñas embebidas, neutralización inapropiada de elementos especiales utilizados en comandos del sistema operativo, copia del búfer sin comprobación del tamaño de entrada, lectura fuera de límites, desbordamiento de búfer basado en pila (stack) y evasión de autenticación mediante canal o ruta alternativa.

Solución

Contactar con el soporte técnico de Moxa para obtener la actualización.

Detalle

Un atacante que aprovechara alguna de las vulnerabilidades descritas en este aviso, podría llegar a realizar alguna de las siguientes acciones:

  • Envío de comandos. Se han reservado los identificadores CVE-2019-5136 y CVE-2019-5162 para estas vulnerabilidades.
  • Descifrar el tráfico capturado. Se ha reservado el identificador CVE-2019-5137 para esta vulnerabilidad.
  • Inyección de comandos para obtener el control del dispositivo. Se han reservado los identificadores CVE-2019-5138, CVE-2019-5140, CVE-2019-5141 y CVE-2019-5142 para estas vulnerabilidades.
  • Uso de contraseñas embebidas. Se ha reservado el identificador CVE-2019-5139 para esta vulnerabilidad.
  • Ejecución remota de código. Se han reservado los identificadores CVE-2019-5143 y CVE-2019-5153 para estas vulnerabilidades.
  • Denegación del servicio. Se ha reservado el identificador CVE-2019-5148 para esta vulnerabilidad.
  • Evasión de autenticación. Se ha reservado el identificador CVE-2019-5165 para esta vulnerabilidad.

Encuesta valoración