Uso de hash de contraseña en el protocolo Digi RealPort de Digi International
Fecha de publicación 01/09/2023
Importancia
5 - Crítica
Recursos Afectados
- Digi RealPort para Windows: versión 4.8.488.0 y anteriores;
- Digi RealPort para Linux: versión 1.9-40 y anteriores;
- Digi ConnectPort TS 8/16: versiones anteriores a 2.26.2.4;
- Servidor de consola Digi Passport: todas las versiones;
- Digi ConnectPort LTS 16/8/32: versiones anteriores a 1.4.9;
- Servidor de consola Digi CM: todas las versiones;
- Digi PortServer TS: todas las versiones;
- Digi PortServer TS MEI: todas las versiones;
- Digi PortServer TS MEI Hardened: todas las versiones;
- Digi PortServer TS M MEI: todas las versiones;
- Digi PortServer TS P MEI: todas las versiones;
- Familia Digi One IAP: todas las versiones;
- Digi One IA: todas las versiones;
- Digi One SP IA: todas las versiones;
- Digi One SP: todas las versiones;
- Digi WR31: todas las versiones;
- Digi WR11 XT: todas las versiones;
- Digi WR44 R: todas las versiones;
- Digi WR21: todas las versiones;
- Digi Connect ES: versiones anteriores a 2.26.2.4;
- Digi Connect SP: todas las versiones.
Descripción
Reid Wightman, de Dragos, Inc., ha informado de una vulnerabilidad de severidad crítica que podría permitir al atacante acceder al equipo conectado.
Solución
Digi International recomienda a los usuarios adquirir e instalar parches que hayan puesto a disposición para los siguientes productos:
- Software RealPort para Windows: corregido en 4.10.490;
- Digi ConnectPort TS 8/16: corregido en la versión de firmware 2.26.2.4;
- Digi ConnectPort LTS 8/16/32: corregido en la versión 1.4.9;
- Digi Connect ES: corregido en la versión de firmware 2.26.2.4.
Detalle
El protocolo afectado es vulnerable a un ataque de repetición que puede permitir a un atacante eludir la autenticación para acceder al equipo conectado.
Se ha asignado el identificador CVE -2023-4299 para esta vulnerabilidad.
Listado de referencias
