Múltiples vulnerabilidades en el controlador Mark Vle de GE
Fecha de publicación:
09/10/2019
Importancia:
3 -
Media
Recursos afectados:
Todas las versiones del controlador Mark Vle.
Descripción:
El investigador Sharon Brizinov de Claroty ha reportado varias vulnerabilidades en el software que afecta al controlador Mark Vle. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante la lectura, escritura o ejecución comandos en el controlador.
Solución:
GE recomienda las siguientes soluciones para mitigar estos problemas:
- Deshabilitar el servicio Telnet, que se encuentra habilitado por defecto en el controlador Mark Vle en las versiones 6.0 y anteriores.
- Cambiar la contraseña al desplegar el controlador Mark Vle dentro del entorno operativo.
Detalle:
- Una vulnerabilidad se debe a una implementación insegura del protocolo Telnet en el dispositivo. Un atacante podría autenticarse con credenciales predeterminadas. Se ha reservado el identificador CVE-2019-13554 para esta vulnerabilidad.
- La otra vulnerabilidad se debe a la existencia de credenciales embebidas, con privilegios de root, en el dispositivo. Un atacante podría acceder controlador con privilegios de root.
Referencias:
Etiquetas: