Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en AirLink Raven de Sierra Wireless

Múltiples vulnerabilidades en AirLink Raven de Sierra Wireless

Fecha de publicación: 
26/04/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • AirLink Raven XE, todas las versiones anteriores a la 4.0.14
  • AirLink Raven XT, todas las versiones anteriores a la 4.0.11.
Descripción: 

El investigador independiente Karn Ganeshen ha identificado varias vulnerabilidades que afectan a los gateways AirLink Raven XE y XT de la empresa Sierra Wireless. Un potencial atacante remoto podría comprometer la confidencialidad, integridad y disponibilidad de los recursos afectados.

Solución: 

Sierra Wireless ha publicado una nueva versión de firmware que soluciona las vulnerabilidades de autorización incorrecta y de CSRF, pero no la de protección insuficiente de credenciales. Las nuevas versiones son:

Detalle: 
  • Autorización incorrecta: Varios ficheros y directorios pueden ser accedidos sin autenticación, lo que permitiría a un potencial atacante remoto realizar funciones sensibles incluyendo la carga de ficheros arbitrarios, descarga de ficheros y el reinicio del dispositivo. Se ha reservado el identificador CVE-2017-6044 para esta vulnerabilidad.
  • CSRF: Los dispositivos afectados no comprueban si una petición se ha realizado con un usuario logueado, lo que permitiría un atacante engañar a un cliente para que haga una solicitud no intencionada al servidor web que sea tratada con una solicitud auténtica. Se ha reservado el identificador CVE-2017-6042 para esta vulnerabilidad.
  • Protección insuficiente de credenciales: La información sensible está insuficientemente protegida durante la transmisión y es vulnerable a una captura de tráfico, lo que podría suponer una divulgación de información. Se ha reservado el identificador CVE-2017-6046 para esta vulnerabilidad.