Vulnerabilidad en el mecanismo de recuperación de credenciales en productos de IFM
INCIBE-2022-1047
Versiones 1.9.3 y anteriores de:
- hardware para la utilización de moneo QHA200,
- hardware para la utilización de moneo QHA210.
El investigador Aimon Dawson ha reportado a IFM una vulnerabilidad de mecanismo débil de recuperación de contraseñas que afecta a los dispositivos QHA200 y QHA210. El fabricante, a su vez, ha notificado esta vulnerabilidad al CERT@VDE. Un atacante remoto podría explotar esta vulnerabilidad para resetear la contraseña de administrador.
La vulnerabilidad será solucionada en una futura versión. El CERT@VDE ha publicado una serie de medidas de mitigación que se pueden consultar en la sección 'Solution' del aviso.
Los dispositivos hardware QHA200 y QHA210 de IFM podrían permitir que un atacante remoto no autenticado reseteara la contraseña de administrador en el servidor dedicado (appliance) moneo. Para explotar esta vulnerabilidad, el atacante solo necesitaría proveer el número de serie, con el objetivo de reiniciar los credenciales de administrador. Se ha asignado el identificador CVE-2022-3485 para esta vulnerabilidad.
