Inicio / Alerta Temprana / Avisos Sci / Gestión de credenciales incorrecta en múltiple productos AMX

Gestión de credenciales incorrecta en múltiple productos AMX

Fecha de publicación: 
19/02/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Los dispositivos afectados por la vulnerabilidad CVE-2015-8362 son los siguientes:

  • NX-1200, NX-2200, NX-3200, NX-4200 NetLinx Controller, versiones anteriores a la versión 1.4.65.
  • Massio ControlPads MCP-10x, versiones anteriores a 1.4.65.
  • Enova DVX-x2xx, versiones anteriores a 1.4.65.
  • DVX-31xxHD-SP (-T), versiones anteriores a 4.8.331.
  • DVX-21xxHD-SP (-T), versiones anteriores a 4.8.331.
  • DVX-2100HD-SP-T Master, versiones anteriores a 4.1.420 (Versión Hotfix firmware).
  • Enova DGX 100 NX Series Master, versiones anteriores a 1.4.72 (Versión Hotfix firmware).
  • Enova DGX 8/16/32/64 NX Series Master, versiones anteriores a 1.4.72 (Versión Hotfix firmware).
  • Enova DGX 8/16/32/64 NI Series Master, versiones anteriores a 4.2.397 (Versión Hotfix firmware).
  • NI-700, NI-900 Master Controllers (64M RAM), versiones anteriores a 4.1.419.
  • NI-700, NI-900 Master Controllers (32M RAM), versiones anteriores a 3.60.456 (Versión Hotfix firmware).
  • NI-2100, NI-3100, NI-4100, NI-2100 con ICSNet, NI-3100 con ICSNet, NI-3100/256, NI-3100/256 con ICSNet, NI-4100/256, versiones anteriores a  4.1.419.
  • NI-3101-SIG Master Controller, versiones anteriores a 4.1.419.
  • NI-2000, NI-3000, NI-4000, versiones anteriores a 3.60.456 (Versión Hotfix firmware).
  • ME260/64 Duet, versiones anteriores a 3.60.456 (Versión Hotfix firmware).

Los productos afectados por la vulnerabilidad CVE-2016-1984 son los siguientes:

  • NX-1200, NX-2200, NX-3200, NX-4200 NetLinx Controller, versión 1.4.65 y versión 1.4.66 (Versión Hotfix firmware)
  • Massio ControlPads MCP-10x, versión 1.4.65 y versión 1.4.66 (Versión Hotfix firmware)
  • Enova DVX-x2xx, versión 1.4.65 y versión 1.4.72 (Versión Hotfix firmware)
  • Enova DGX 100 NX Series Master, versión 1.4.72 (Versión Hotfix firmware)
  • Enova DGX 8/16/32/64 NX Series Master, versión 1.4.72 (Versión Hotfix firmware).
Descripción: 

Se han encontrado dos vulnerabilidades relacionadas con la gestión de credenciales en múltiples productos del fabricante AMX.

Solución: 

El fabricante ha desarrollado un nuevo firmware para mitigar la vulnerabilidad que permite la modificación de la configuración en los dispositivos afectados (CVE-2015-8362). Para solucionar la segunda vulnerabilidad (CVE-2016-1984), el fabricante tiene previsto liberar una nueva versión de firmware en Abril.

Detalle: 

Los productos afectados contienen credenciales embebidas con privilegios elevados. Este hecho puede llegar a permitir a atacantes remotos realizar cambios en la configuración del dispositivo. Adicionalmente los dispositivos tienen credenciales embebidas que permiten acceso remoto a través del puerto 1319 TCP y UDP permitiendo el intercambio de mensajes usando Internet Control System Protocol (ICSP). Se han reservado los identificadores CVE-2015-8362 y CVE-2016-1984 respectivamente para estas vulnerabilidades.

Etiquetas: