Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en OnCell G3150A-LTE Series de Moxa

Fecha de publicación 02/01/2024
Identificador
INCIBE-2024-001
Importancia
4 - Alta
Recursos Afectados

OnCell G3150A-LTE Series, versiones de firmware 1.3 y anteriores.

Descripción

El dispOnCell G3150A-LTE Series de Moxa está afectado por 5 vulnerabilidades de aplicaciones web, 1 de severidad alta y 4 medias, cuya explotación podría conducir a un acceso no autorizado y a una interacción inesperada del usuario con la aplicación web.

Solución

Moxa recomienda ponerse en contacto con su soporte técnico para obtener el parche de seguridad.

Para las vulnerabilidades CVE-2004-2761, CVE-2013-2566 y CVE-2016-2183, el fabricante recomienda sustituir algoritmos y conjuntos de cifrado débiles por otros aprobados.

Dado que Oncell G3150A-LTE es un producto EoL (ha sido reemplazado por OnCell G4302 Series), el fabricante no planea abordar soluciones para CVE 2023-6093 y CVE-2023-6094, por lo que recomienda medidas generales de mitigación incluidas en su aviso.

Detalle

La vulnerabilidad de severidad alta se ha detectado en los cifrados DES y Triple DES, utilizados en los protocolos TLS, SSH e IPSec, y en otros protocolos y productos. Estos cifrados tienen un límite de unos 4.000 millones de bloques, lo que facilita a un atacante remoto obtener datos en texto claro mediante un ataque contra una sesión cifrada de larga duración, como demuestra una sesión HTTPS que utiliza Triple DES en modo CBC, también conocido como ataque 'Sweet32'. Se ha asignado el identificador CVE-2016-2183 para esta vulnerabilidad.

El resto de vulnerabilidades de severidad media tienen asignados los identificadores CVE-2004-2761, CVE-2013-2566, CVE-2023-6093 y CVE-2023-6094.