Múltiples vulnerabilidades en Hitachi Energy AFF66x
INCIBE-2023-0352
AFF660/665, versiones de firmware 03.0.02 y anteriores.
El fabricante ha reportado 6 vulnerabilidades en su producto AFF66x, 1 de severidad crítica y el resto altas. Un atacante podría comprometer la disponibilidad, la integridad y la confidencialidad de los dispositivos afectados si explota estas vulnerabilidades.
Aplicar las siguientes medidas propuestas por el fabricante:
- actualizar la versión de firmware a 04.6.01 cuando esté disponibles,
- configurar sólo servidores DNS de confianza,
- configurar el servicio NTP con fuentes de tiempo redundantes de confianza,
- restringir los protocolos de gestión basados en TCP/IP a direcciones IP de confianza,
- desactivar el servidor SNMP.
La vulnerabilidad crítica se ha detectado en uClibc y uClibc-ng, debido a la gestión incorrecta de caracteres especiales en nombres de dominio devueltos por servidores DNS a través de varias funciones, lo que podría provocar la salida de nombres de host erróneos (posibilitando el secuestro de dominios) o la inyección en aplicaciones (permitiendo RCE, XSS, bloqueo de aplicaciones...). Se ha asignado el identificador CVE-2021-43523 para esta vulnerabilidad.
Para el resto de vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2020-13817, CVE-2020-11868, CVE-2019-11477, CVE-2022-3204 y CVE-2018-18066.
