Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en controladores de luz ENTTEC

Múltiples vulnerabilidades en controladores de luz ENTTEC

Fecha de publicación: 
26/06/2020
Importancia: 
4 - Alta
Recursos afectados: 

Estas vulnerabilidades afectan al firmware versión 70044_actualización_05032019-482 y anteriores, para los siguientes productos:  

  • Datagate Mk2,
  • Storm 24,
  • Pixelator,
  • E-Streamer Mk2.
Descripción: 

Se han publicado múltiples vulnerabilidades presentes en controladores de luz que podrían permitir a un atacante obtener acceso SSH/SCP no autorizado a los dispositivos, inyectar código malicioso, ejecutar comandos con privilegios de root o leer, escribir y ejecutar archivos en los directorios del sistema como cualquier otro usuario.

Solución: 

ENTTEC aún no ha lanzado ninguna actualización. Recomienda que los dispositivos se ubiquen detrás de los firewalls y controles de red apropiados, y que no sean accesibles desde Internet.

Detalle: 
  • La existencia de contraseñas embebidas para el acceso remoto SSH y SCP como usuario root. Se ha asignado el identificador CVE-2019-12776 para esta vulnerabilidad.
  • Varias vulnerabilidades de XSS almacenado, en el software de configuración web Datagate Mk2 de ENTTEC, podrían permitir a un atacante no autenticado inyectar código malicioso directamente en la aplicación. Se ha asignado el identificador CVE-2019-12774 para esta vulnerabilidad.
  • Los controladores de luz permiten acceso de alto privilegio como root  a través de la capacidad de sudo sin requerir un control de acceso apropiado. Se ha asignado el identificador CVE-2019-12775 para esta vulnerabilidad.
  • El sistema remplaza los permisos del sistema operativo subyacente con permisos altamente inseguros de lectura, escritura y ejecución para todos los usuarios. Se ha asignado el identificador CVE-2019-12777 para esta vulnerabilidad.

Encuesta valoración