Múltiples vulnerabilidades en Zipabox de Zipato

Fecha de publicación 09/08/2018
Importancia
4 - Alta
Recursos Afectados
  • Zipato Zipabox (smart home controller)
Descripción

Andrey Muravitsky, del Critical Infrastructure Defense Team de Kaspersky Lab ICS CERT ha reportado varias vulnerabilidades a Zipato. Un atacante remoto podría obtener información sensible que expandiera la superficie de ataque, explotara una vulnerabilidad o extrajera sin autenticación, contraseñas en texto en claro pudiendo llegar a tomar el control de todo el hogar inteligente gestionado por los dispositivos afectados.

Solución

Por el momento no se encuentra ninguna solución disponible.

Detalle
  • Divulgación de información sensible: un atacante sin autenticación podría ser capaz de extraer información sensible sobre los dispositivos Zipabox disponibles y su información técnica. Se ha asignado el identificador CVE-2018-15125 para esta vulnerabilidad.
  • Algoritmo de hash débil: un atacante sin autenticación podría aprovechar esta vulnerabilidad para extraer contraseñas de texto en claro. Se ha asignado el identificador CVE-2018-15124 a esta vulnerabilidad.
  • Almacenamiento de configuración inseguro: un atacante sin autenticación podría aprovechar esta vulnerabilidad para tomar el control de todo el hogar inteligente. Se ha asignado el identificador CVE-2018-15123 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
KLCERT-18-005: Zipato Zipabox Sensitive Information Disclosure
KLCERT-18-004: Zipato Zipabox Weak Hash Algorithm
KLCERT-18-003: Zipato Zipabox Insecure configuration storage
Etiquetas