Múltiples vulnerabilidades en productos de MB connect line
Fecha de publicación 16/10/2024
Identificador
INCIBE-2024-0513
Importancia
5 - Crítica
Recursos Afectados
- mbNET.mini versiones 2.2.13 y anteriores.
- mbCONNECT24 versiones 2.16.2 y anteriores.
- mbNET HW1 versiones 5.1.11 y anteriores.
- mbNET/mbNET.rokey versiones 8.2.0 y anteriores.
- mbSPIDER versiones 2.6.5 y anteriores.
- mymbCONNECT24 versiones 2.16.2 y anteriores.
Descripción
El investigador Moritz Abrell de SySS GmbH ha reportado a CERT@VDE, en coordinación con Red Lion Europe, 7 vulnerabilidades: 2 de severidad crítica y 5 de severidad alta, que afectan a varios productos de MB connect line GmbH. La explotación de estas vulnerabilidades podría provocar acceso, no autorizado, a archivos o ejecución remota de código.
Solución
- Actualizar mbNET.mini a la versión 2.3.1.
- Actualizar mbNET/mbNET.rokey a la versión 8.2.1.
- Actualizar mbCONNECT24, mymbCONNECT24 a la versión 2.16.3.
mbNET HW1 y mbSPIDER se encuentran en el final de su vida y no recibirán actualizaciones.
Detalle
- Debido a una autenticación insuficiente en mbNET.mini, un atacante externo podría ejecutar comandos del sistema operativo, mediante UDP en el dispositivo. Se ha asignado el identificador CVE-2024-45274 para esta vulnerabilidad crítica.
- Credenciales en código. mbNET.mini contiene dos credenciales de cuentas de usuarias en el código. Estas credenciales permitirían a un atacante remoto obtener control total de los dispositivos afectados. Se ha asignado el identificador CVE-2024-45275 para esta vulnerabilidad crítica.
Además de los identificadores CVE-2024-45272, CVE-2024-4527, CVE-2024-45276, CVE-2024-45273 y CVE-2024-45271 para las vulnerabilidades altas. Estas se pueden consultar en las referencias.
Listado de referencias
