Múltiples vulnerabilidades en productos de General Electric
Fecha de publicación 01/04/2022
Importancia
5 - Crítica
Recursos Afectados
- iNET/iNET II series con firmware anterior a 8.3.0;
- SD series con firmware anterior a 6.4.7;
- TD220X series con firmware anterior a 2.0.16;
- TD220MAX series con firmware anterior a 1.2.6.
Descripción
El investigador, Reid Wightman, de la empresa Dragos, informó a General Electric de vulnerabilidades en varios de sus productos, que permitirían que un atacante controle la configuración de la radio, se una a la red sin la debida autorización o impida que los usuarios válidos usen el sistema afectado.
Solución
General Electric ha publicado las siguientes versiones que corrigen estas vulnerabilidades:
- iNET/iNET II series con firmware 8.3.0;
- SD series con firmware 6.4.7;
- TD220X series con firmware 2.0.16;
- TD220MAX series con firmware 1.2.6.
Detalle
- La vulnerabilidades más críticas encontradas permitirían la ejecución remota de código en el servidor web GoAhead utilizada en los productos de radio iNET/iNET II, TD220X y TD220MAX, cuya vulnerabilidad tiene asignado el identificador CVE-2017-17562, y permitirían el acceso a la shell de configuración del dispositivo iNET/iNET II, a través de un acceso acceso local y de red no autenticado, asignándose, en este caso, el identificador CVE-2022-24119 a esta vulnerabilidad.
Otras vulnerabilidades encontradas tienen asignados los siguientes identificadores: CVE-2022-24116, CVE-2022-24118, CVE-2022-24120 y CVE-2022-24117.
Listado de referencias
Etiquetas