Múltiples vulnerabilidades en la línea DDC4000 de Kieback&Peter
Fecha de publicación 18/10/2024
Identificador
INCIBE-2024-0522
Importancia
5 - Crítica
Recursos Afectados
- DDC4100, versiones 1.7.4 y anteriores.
- Versiones 1.12.14 y anteriores de los modelos:
- DDC4002;
- DDC4200;
- DDC4200-L;
- DDC4400.
- Versiones 1.17.6 y anteriores de los modelos:
- DDC4002e;
- DDC4200e;
- DDC4400e;
- DDC4020e;
- DDC4040e.
Descripción
El investigador, Raphael Ruf de terreActive AG ha reportado a CISA, 3 vulnerabilidades: 2 de severidad crítica y 1 de severidad alta, que afectan a la línea de productos DDC4000. La explotación de estas vulnerabilidades podría provocar que un atacante consiguiera permisos de administrador absolutos en el sistema.
Solución
- Los siguientes modelos han llegado al final de su vida, por lo que ya no reciben soporte:
- DDC4100;
- DDC4002;
- DDC4200;
- DDC4200-L;
- DDC4400.
- Se recomienda a los usuarios actualizar los controladores y contactar con las oficinas locales de Kieback&Peter para actualizar el firmware de los sistemas a la versión 1.21.0 o posteriores en los siguientes modelos:
- DDC4002e;
- DDC4200e;
- DDC4400e;
- DDC4020e;
- DDC4040e.
Detalle
Las 2 vulnerabilidades críticas se describen a continuación:
- Debido a una limitación incorrecta del nombre de ruta a un directorio restringido, un atacante sin autenticación podría acceder y leer los archivos del sistema. Se ha asignado el identificador CVE-2024-41717 para esta vulnerabilidad.
- El producto afectado emplea credenciales débiles que podrían permitir a un atacante, no autenticado conseguir privilegios de administrador del sistema. Se ha asignado el identificador CVE-2024-43698 para esta vulnerabilidad.
Además, se ha asignado el identificador CVE-2024-43812 para la vulnerabilidad alta. Esta se puede consultar en las referencias.
Listado de referencias
