Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Weston Embedded y Silicon Labs

Fecha de publicación 21/02/2024
Identificador
INCIBE-2024-0091
Importancia
5 - Crítica
Recursos Afectados
  • Weston Embedded:
    • uC-TCP-IP, versión 3.06.01;
    • uC-HTTP, commit 80d4004.
  • Silicon Labs Gecko Platform, versión 4.3.2.0.
Descripción

Kelly Patterson, investigadora de Cisco Talos, ha reportado 2 vulnerabilidades de severidad crítica y alta respectivamente, que afectan a productos de los fabricantes Weston Embedded y Silicon Labs. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código.

Solución
  • Habilitar la opción de configuración NET_ERR_CFG_ARG_CHK_DBG_EN en net_cfg.h Ex.
  • Modificar el código dentro del propio uC-HTTP para actualizar correctamente el valor de p_conn->RxBufLenRem.

Se pueden consultar más detalles en la sección Mitigation de cada aviso de Cisco Talos incluido en las referencias.

Detalle
  • La vulnerabilidad alta se ha detectado en la funcionalidad de análisis de loopback del encabezado IP en Weston Embedded uC-TCP-IP. Un conjunto de paquetes de red maliciosos enviados por un atacante podría provocar la corrupción de la memoria y, potencialmente, una ejecución de código. Se ha asignado el identificador CVE-2023-38562 para esta vulnerabilidad.
  • La vulnerabilidad crítica, de tipo desbordamiento de búfer, se ha identificado en la funcionalidad de servidor HTTP de Weston Embedded uC-HTTP. Un paquete de red especialmente diseñado podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2023-45318 para esta vulnerabilidad.