Limitación incorrecta de la ruta a un directorio restringido en productos de Black Box

Fecha de publicación:

11/01/2023

Identificador:

INCIBE-2023-0005

Importancia:

4 - Alta

Recursos afectados:

Black Box KVM, versiones de firmware:

ACR1000A-R-R2 v3.4.31307;
ACR1000A-T-R2 v3.4.31307;
ACR1002A-T v3.4.31307;
ACR1002A-R v3.4.31307;
ACR1020A-T v3.4.31307.

Descripción:

CISA descubrió una Prueba de Concepto (PoC) pública del investigador, Ferhat Çil, y se lo comunicó a Black Box.

Solución:

Se recomienda actualizar cada producto afectado a la versión de firmware v3.6 o posterior (ver más información en la referencia).

Detalle:

Existe una vulnerabilidad de limitación incorrecta de ruta a un directorio restringido (path traversal) en los modelos y versiones mencionados de Black Box, que podría permitir a un atacante robar credenciales de usuario y otra información sensible a través de la inclusión de archivos localmente. Se ha asignado el identificador CVE-2022-4636 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-23-010-01) Black Box KVM

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Limitación incorrecta de la ruta a un directorio restringido en productos de Black Box

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Múltiples vulnerabilidades en LANTIME de Meinberg

Asignación de permisos incorrectos en RoboDK