Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en DIALink de Delta Electronics

Múltiples vulnerabilidades en DIALink de Delta Electronics

Fecha de publicación: 
22/10/2021
Importancia: 
4 - Alta
Recursos afectados: 

DIALink, versión 1.2.4.0 y anteriores.

Descripción: 

El investigador, Michael Heinzl, ha reportado al CISA cuatro vulnerabilidades de severidad alta y otras seis de severidad media que podrían permitir a un atacante desarrollar un ataque machine-in-the-middle, ejecutar código de forma remota, realizar una escalada de privilegios, tomar el control del sistema, modificar el directorio de instalación o subir archivos maliciosos.

Solución: 

Por el momento no existe una solución, aunque el fabricante está trabajando en ello. Se recomienda aplicar las medidas de mitigación detalladas en el apartado 4 del aviso de CISA.

Detalle: 
  • El producto afectado trabaja por defecto sobre HTTP, lo que podría permitir realizar un ataque machine-in-the-middle para acceder a información sin autorización. Se ha asignado el identificador CVE-2021-38418 para esta vulnerabilidad de severidad alta.
  • El producto afectado almacena información sensible en texto plano, lo que podría permitir a un atacante acceder a la aplicación y realizar una escalada de privilegios. Se ha asignado el identificador CVE-2021-38422 para esta vulnerabilidad de severidad alta.
  • El producto afectado carga librerías de forma insegura, lo que podría permitir a un atacante el secuestro de DLL y tomar el control del sistema en el que el software esté instalado. Se ha asignado el identificador CVE-2021-38416 para esta vulnerabilidad de severidad alta.
  • El producto afectado ofrece por defecto amplios privilegios a cuentas de usuario con pocos privilegios, lo que podría permitir a un atacante modificar el directorio de instalación y cargar archivos maliciosos. Se ha asignado el identificador CVE-2021-38420 para esta vulnerabilidad de severidad alta.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38428, CVE-2021-38488, CVE-2021-38407, CVE-2021-38403, CVE-2021-38411 y CVE-2021-38424.

Encuesta valoración