Múltiples vulnerabilidades en AirVantage Platform de Sierra Wireless
INCIBE-2023-0167
Todas las versiones de AirVantage Platform.
Roni Gavrilov, de Otorio, ha reportado dos vulnerabilidades, una de severidad alta y una de severidad media, que podrían permitir a un atacante modificar la configuración de los dispositivos, así como recibir información sensible de los mismos.
Sierra Wireless ha actualizado el comprobador de garantía de AirVantage para que no devuelva el IMEI y el número de serie, lo que evita la vulnerabilidad de divulgación de información.
Para más información, revisar el aviso de CISA incluido en las referencias.
La plataforma AirVantage permite a un atacante no autorizado registrar dispositivos previamente no registrados en la plataforma AirVantage. Esto podría permitir a un atacante configurar, gestionar y ejecutar comandos en los dispositivos afectados. Se ha asignado el identificador CVE-2023-31279 para esta vulnerabilidad de severidad alta.
La herramienta de comprobador de garantía de AirVantage cuenta con una vulnerabilidad de exposición de información sensible, la cual podría permitir a un atacante realizar una enumeración masiva de IMEI, así como números de serie, pudiendo hacer uso de esta información para la elaboración de exploits. Se ha asignado el identificador CVE-2023-31280 para esta vulnerabilidad de severidad media.
