Múltiples vulnerabilidades en A840 de Adcon Telemetry
Fecha de publicación:
16/12/2015
Importancia:
5 -
Crítica
Recursos afectados:
Los productos afectados son los siguientes:
- A840 Telemetry Gateway Base Station
Descripción:
El investigador independiente Aditya K. Sood ha identificado varias vulnerabilidades que afectan al producto A840 Telemetry Gateway Base Station de la empresa Adcon Telemetry.
Solución:
Adcon Telemetry considera que el A840 Telemetry Gateway Base Station es un producto obsoleto y está fuera del ciclo de soporte, por lo que no va a publicar ningún parche o actualización para el producto. La empresa se ha puesto en contacto con todos los clientes conocidos del producto para sugerirles una actualización a una versión más moderna, estable y segura.
Detalle:
La vulnerabilidades presentes en el dispositivo permiten a un potencial atacante acceder al dispositivo con permiso de administración. Las vulnerabilidades se pueden explotar de forma remota. Los problemas encontrados son los siguientes:
- Contraseñas embebidas: Un atacante puede acceder al sistema con privilegios de administrador utilizando contraseñas embebidas. Este acceso permitiría modificar la configuración del dispositivo así como leer y escribir ficheros del sistema. Se ha reservado el identificador CVE-2015-7930 para esta vulnerabilidad.
- Autenticación inadecuada: El sistema no soporta SSL por lo que toda la comunicación de red se realiza mediante texto en claro. Se ha reservado el identificador CVE-2015-7931 para esta vulnerabilidad..
- Transmisión de información sensible en claro: Debido a que no existe soporte para SSL toda la comunicación se realiza sin cifrar, haciéndola fácilmente leíble en toda la red. Se ha reservado el identificador CVE-2015-7932 para esta vulnerabilidad.
- Divulgación de información: El cliente Java utilizado revela la ruta completa de los ficheros de log en el servidor. Se ha reservado el identificador CVE-2015-7934 para esta vulnerabilidad.
Referencias:
Etiquetas: