Múltiples vulnerabilidades en controladores de luz ENTTEC
Fecha de publicación 26/06/2020
Importancia
4 - Alta
Recursos Afectados
Estas vulnerabilidades afectan al firmware versión 70044_actualización_05032019-482 y anteriores, para los siguientes productos:
- Datagate Mk2,
- Storm 24,
- Pixelator,
- E-Streamer Mk2.
Descripción
Se han publicado múltiples vulnerabilidades presentes en controladores de luz que podrían permitir a un atacante obtener acceso SSH/SCP no autorizado a los dispositivos, inyectar código malicioso, ejecutar comandos con privilegios de root o leer, escribir y ejecutar archivos en los directorios del sistema como cualquier otro usuario.
Solución
ENTTEC aún no ha lanzado ninguna actualización. Recomienda que los dispositivos se ubiquen detrás de los firewalls y controles de red apropiados, y que no sean accesibles desde Internet.
Detalle
- La existencia de contraseñas embebidas para el acceso remoto SSH y SCP como usuario root. Se ha asignado el identificador CVE-2019-12776 para esta vulnerabilidad.
- Varias vulnerabilidades de XSS almacenado, en el software de configuración web Datagate Mk2 de ENTTEC, podrían permitir a un atacante no autenticado inyectar código malicioso directamente en la aplicación. Se ha asignado el identificador CVE-2019-12774 para esta vulnerabilidad.
- Los controladores de luz permiten acceso de alto privilegio como root a través de la capacidad de sudo sin requerir un control de acceso apropiado. Se ha asignado el identificador CVE-2019-12775 para esta vulnerabilidad.
- El sistema remplaza los permisos del sistema operativo subyacente con permisos altamente inseguros de lectura, escritura y ejecución para todos los usuarios. Se ha asignado el identificador CVE-2019-12777 para esta vulnerabilidad.
Listado de referencias
Etiquetas