Inicio / Alerta Temprana / Avisos Sci / Multiples vulnerabilidades en la serie magnum de GarretCom

Multiples vulnerabilidades en la serie magnum de GarretCom

Fecha de publicación: 
17/06/2015
Importancia: 
4 - Alta
Recursos afectados: 

Los sistemas de GarretCom afectados son los siguientes:

  • Línea de producto Magnum 6K, todas las versiones anteriores a la 4.5.6
  • Línea de producto Magnum 10K, todas las versiones anteriores a la 4.5.6
Descripción: 

Multiples vulnerabilidades en la serie Magnum de GarretCom, que afectan a las líneas de producto 6K y 10K.

Solución: 

GarretCom ha desarrollado una nueva versión de firmware que soluciona todas las vulnerabilidades encontradas. La nueva versión puede descargarse en la web del fabricante.

Detalle: 

Los dispositivos afectados presentan las siguientes vulnerabilidades:

  • Cross-site scripting: Existen multiples vulnerabilidades XSS en la web que pueden ser aprovechadas por un atacante sin autenticar.
  • Uso de contraseñas embebidas: El firmware contiene embebido las claves RSA y el certificado, que son utilizados en las comunicaciones SSH y HTTPS. También se encuentra embebida en el firmware una contraseña de usuario privilegiado para acceder a la consola.
  • Control externo de parámetros de la web asumidos como inmutables: Mediante la solicitud de una determinada página web se produce una corrupción de memoria que puede reiniciar el dispositivo.

Para estas vulnerabilidades se han reservado los siguientes identificadores:

  • CVE-2015-3942
  • CVE-2015-3960
  • CVE-2015-3959
  • CVE-2015-3961

Las vulnerabilidades detectadas pueden ser explotadas de forma remota.