Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Gateway móvil industrial ICX35 - HWC-x de ProSoft Technology

Múltiples vulnerabilidades en Gateway móvil industrial ICX35 - HWC-x de ProSoft Technology

Fecha de publicación: 
09/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Gateway móvil industrial ICX35 - HWC-x, versiones 1.0, 1.1, 1.1d, 1.2.x
Descripción: 

ProSoft Technology ha sido conocedora de dos vulnerabilidades que afectan a la autenticación y a la validación de los datos introducidos por el usuario en los gateways industriales para redes móviles ICX35 - HWC-x. Un potencial atacante remoto podría utilizar estas vulnerabilidades para ejecutar código comandos arbitrarios o ganar acceso administrador al sistema.

Solución: 

 ProSoft Technology ha publicado la versión 1.3 del firmware del dispositivo que soluciona estas vulnerabilidades. La imagen del firmware puede obtenerse de la página del fabricante. 

Detalle: 

Las vulnerabilidades publicadas son:

  • Validación de datos de usuario incorrecta: Varios campos de la interfaz de usuario de la parte web permiten la introducción de comandos con los privilegios del usuario root. Un potencial atacante remoto podría ejecutar comandos maliciosos en el dispositivo ya que la interfaz de usuario es accesible a través de una conexión móvil. Además, podría utilizar el dispositivo como plataforma para otros ataques al estar el equipo conectado a Internet.
  • Evasión de autenticación: La autenticación de usuario en la interfaz web de usuario puede ser evadida permitiendo un acceso no autenticado a la aplicación Un potencial atacante remoto podría ganar acceso con privilegios de administrador a la configuración del dispositivo.