Múltiples vulnerabilidades en productos de Ovarro
- Las siguientes TBox, en sus versiones 1.50.598 y anteriores, son vulnerables a CVE-2023-36607, CVE-2023-36609, CVE-2023-36610, CVE-2023-36611:
- TBox MS-CPU32;
- TBox MS-CPU32-S2;
- TBox LT2;
- TBox TG2s;
- TBox RM2.
- Las siguientes TBox, en su versión 1.46 hasta 1.50.598, son vulnerables a CVE-2023-36608:
- TBox MS-CPU32;
- TBox MS-CPU32-S2;
- TBox LT2;
- TBox TG2;
- TBox RM2.
- Las siguientes TBox, en todas sus versiones, son vulnerables a CVE-2023-3395:
- TBox MS-CPU32-S2;
- TBox LT2;
- TBox TG2;
- TBox RM2.
Floris Hendriks y Jeroen Wijenbergh, de la Universidad de Radboud, han notificado 6 vulnerabilidades, de las cuales 5 son de severidad media y 1 de severidad alta. La explotación exitosa de estas vulnerabilidades podría resultar en la exposición de información sensible del sistema y la escalada de privilegios.
Ovarro recomienda a los usuarios que actualicen los productos afectados descargando la versión más reciente del software desde el sitio web de Ovarro, en la sección "Asistencia al cliente".
La vulnerabilidad de severidad alta afecta a las RTU TBox que ejecutan OpenVPN con privilegios de root y pueden ejecutar scripts de configuración definidos por el usuario. Un atacante podría configurar un servidor OpenVPN en local y forzar un script malicioso en el host TBox para adquirir privilegios de root. Se ha asignado el identificador CVE-2023-36609 para esta vulnerabilidad.
Para el resto de vulnerabilidades de severidad media se han asignado los códigos CVE-2023-36607, CVE-2023-36608, CVE-2023-36610, CVE-2023-36611 y CVE-2023-3395.
