Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en A840 de Adcon Telemetry

Múltiples vulnerabilidades en A840 de Adcon Telemetry

Fecha de publicación: 
16/12/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados son los siguientes:

  • A840 Telemetry Gateway Base Station
Descripción: 

El investigador independiente Aditya K. Sood ha identificado varias vulnerabilidades que afectan al producto A840 Telemetry Gateway Base Station de la empresa Adcon Telemetry.

Solución: 

Adcon Telemetry considera que el A840 Telemetry Gateway Base Station es un producto obsoleto y está fuera del ciclo de soporte, por lo que no va a publicar ningún parche o actualización para el producto. La empresa se ha puesto en contacto con todos los clientes conocidos del producto para sugerirles una actualización a una versión más moderna, estable y segura.

Detalle: 

La vulnerabilidades presentes en el dispositivo permiten a un potencial atacante acceder al dispositivo con permiso de administración. Las vulnerabilidades se pueden explotar de forma remota. Los problemas encontrados son los siguientes:

  • Contraseñas embebidas: Un atacante puede acceder al sistema con privilegios de administrador utilizando contraseñas embebidas. Este acceso permitiría modificar la configuración del dispositivo así como leer y escribir ficheros del sistema. Se ha reservado el identificador CVE-2015-7930 para esta vulnerabilidad.
  • Autenticación inadecuada: El sistema no soporta SSL por lo que toda la comunicación de red se realiza mediante texto en claro. Se ha reservado el identificador CVE-2015-7931 para esta vulnerabilidad..
  • Transmisión de información sensible en claro: Debido a que no existe soporte para SSL toda la comunicación se realiza sin cifrar, haciéndola fácilmente leíble en toda la red. Se ha reservado el identificador CVE-2015-7932 para esta vulnerabilidad.
  • Divulgación de información: El cliente Java utilizado revela la ruta completa de los ficheros de log en el servidor. Se ha reservado el identificador CVE-2015-7934 para esta vulnerabilidad.
Etiquetas: