Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Sierra Wireless ALEOS

Fecha de publicación 29/11/2023
Identificador
INCIBE-2023-0534
Importancia
4 - Alta
Recursos Afectados

Todos los dispositivos router AirLink que ejecuten versiones del software ALEOS anteriores a:

  • 4.9.9 (ES450, GX450);
  • 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60).
Descripción

Stanislav Dashevskyi, investigador de ForeScout, ha reportado 8 vulnerabilidades de severidad alta en ALEOS, el sistema operativo de ciertos routers AirLink de Sierra Wireless.

Solución

Actualizar ALEOS a las versiones:

  • 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60);
  • 4.9.9 (ES450, GX450).
Detalle

Las vulnerabilidades detectadas se categorizan en los siguientes tipos (la vulnerabilidad CVE-2023-40465 podría emplearse para DoS, pero también para RCE):

  • denegación de servicio (CVE-2023-40458, CVE-2023-40459, CVE-2023-40462, CVE-2023-40465);
  • ejecución de script en el lado del cliente (CVE-2023-40460);
  • Cross-Site Scripting XSS (CVE-2023-40461);
  • credenciales accesibles para usuarios no autorizados (CVE-2023-40463);
  • Man in the middle (CVE-2023-40464);
  • ejecución remota de código (CVE-2023-40465).
Listado de referencias
Sierra Wireless ALEOS Advisory: SWI-PSA-2023-006
Sierra:21
ICSA-23-341-06 - Sierra Wireless AirLink with ALEOS firmware
Etiquetas