Inicio / Alerta Temprana / Avisos Sci / Autenticación incorrecta en PortServer TS 16 de Digi International

Autenticación incorrecta en PortServer TS 16 de Digi International

Fecha de publicación: 
15/09/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Digi PortServer TS 16, versiones de firmware 82000684 y 82000685.

Descripción: 

Byron Chaney de RevSec y Jason Holcomb de Accenture han reportado una vulnerabilidad crítica que podría permitir acceso de escritura, lo que otorgaría el control de la configuración, la ejecución de comandos y el acceso al CLI.

Solución: 

El producto PortServer TS 16 fue descatalogado en 2016. Según el soporte de seguridad de Digi, el soporte de software y hardware del dispositivo de 5 años ha pasado. Digi recomienda actualizar a un nuevo producto con soporte. Si esto no es posible, el soporte extendido puede estar disponible contactando con Digi directamente.

Detalle: 

Las solicitudes POST correctamente formateadas, enviadas a múltiples recursos en los servidores web HTTP y HTTPS del dispositivo Digi PortServer TS 16 Rack, no requieren autenticación ni tokens de autenticación. Esta vulnerabilidad podría permitir a un atacante habilitar el servicio SNMP y manipular las cadenas de comunidad (ID de usuario o contraseña que se envía junto con una Get-Request) para lograr un mayor control. Se ha asignado el identificador para esta vulnerabilidad.

Encuesta valoración