Múltiples vulnerabilidades en LaserWash, Laser Jet y ProTouch de PDQ Manufacturing, Inc.
Fecha de publicación:
28/07/2017
Importancia:
5 -
Crítica
Recursos afectados:
- LaserWash G5 and G5 S Series, todas las versiones
- LaserWash M5, todas las versiones
- LaserWash 360 y 360 Plus, todas las versiones
- LaserWash AutoXpress and AutoExpress Plus, todas las versiones
- LaserJet, todas las versiones
- ProTouch Tandem, todas las versiones
- ProTouch ICON, todas las versiones
- ProTouch AutoGloss, todas las versiones
Descripción:
Los investigadores Billy Rios y Jonathan Butts de WhiteScope y el investigador independiente Terry McCorkle han reportado varias vulnerabilidades que afectan a productos de PDQ Manufacturing, Inc. Un potencial atacante remoto podría ganar acceso no autorizado al sistema afectado y emitir comandos inesperados que afecten el funcionamiento previsto del sistema.
Solución:
PDQ Manufacturing, Inc. está desarrollado parches para los sistemas afectados. Mientras están disponibles, PDQ Manufacturing, Inc. ha identificado una serie de medidas compensatorias:
- Asegurarse siempre de que no se pueda acceder a ningún equipo PDQ desde Internet; debe estar detrás de un cortafuegos seguro.
- Cada vez que se recibe e instala una máquina o router, cambiar la contraseña por defecto.Si en algún lugar se siguen utilizando las contraseñas por defecto, cambie inmediatamente la contraseña.
- Siempre configure la red del sistema con sus características de seguridad habilitadas de modo que requieran un nombre de usuario y una contraseña para poder acceder a la red de la máquina.
- No configurar el router con "port forwarding" habilitado.Esto puede exponer el sistema a Internet y permitir que una persona no autorizada alcance la pantalla de inicio de sesión de la máquina.
- No compartir contraseñas ni anotarlas en un lugar accesible donde los usuarios no autorizados puedan encontrarlos.
Detalle:
- Autenticación inadecuada: El servidor web afectado no verifica adecuadamente que la información de autenticación proporcionada es correcta. Se ha reservado el identificador CVE-2017-9630 para esta vulnerabilidad.
- Falta de cifrado de datos sensibles: Las credenciales de usuario son transmitidas de forma insegura. Se ha reservado el identificador CVE-2017-9632 para esta vulnerabilidad.
Etiquetas: