Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el AMC2 de Bosch

Múltiples vulnerabilidades en el AMC2 de Bosch

Fecha de publicación: 
20/01/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • Bosch AMC2;
  • Bosch AMS < 4.0;
  • Bosch APE <= 3.8.x;
  • Bosch BIS < 4.9.1.
Descripción: 

Bosch ha publicado dos vulnerabilidades, 1 de severidad alta y 1 media, por las que un atacante no autenticado podría descifrar el tráfico de red y cambiar la configuración del dispositivo.

Solución: 

Actualizar AMS y BIS a la versión 4.0 o 4.9.1, respectivamente.

Detalle: 
  • La comunicación con el AMC2 utiliza un algoritmo criptográfico Blowfish para el cifrado simétrico, pero si se recupera la clave del firmware se podría descifrar el tráfico de red entre el AMC2 y el sistema anfitrión. Se necesita tener acceso a la red local, normalmente incluso a la misma subred. Se ha asignado el identificador CVE-2021-23842 para esta vulnerabilidad.
  • Las herramientas de software de Bosch AccessIPConfig.exe y AmcIpConfig.exe se utilizan para configurar ciertos ajustes en los dispositivos AMC2. La herramienta permite poner una contraseña de protección en los dispositivos configurados para restringir el acceso a la configuración de un AMC2. Un atacante podría omitir esta protección y realizar cambios no autorizados en los datos de configuración del dispositivo. Se ha asignado el identificador CVE-2021-23843 para esta vulnerabilidad

Encuesta valoración