Inicio / Alerta Temprana / Avisos Sci / Varias vulnerabilidades en MiiNePort de Moxa

Varias vulnerabilidades en MiiNePort de Moxa

Fecha de publicación: 
25/05/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Los dispositivos afectados son los siguientes:

  • MiiNePort_E1_7080 Firmware Versión 1.1.10 Build 09120714
  • MiiNePort_E1_4641 Firmware Versión1.1.10 Build 09120714
  • MiiNePort_E2_1242 Firmware Versión 1.1 Build 10080614
  • MiiNePort_E2_4561 Firmware Versión 1.1 Build 10080614
  • MiiNePort E3 Firmware Versión 1.0 Build 11071409
Descripción: 

El investigador independiente Kam Ganeshen ha identificado varias vulnerabilidades en MiiNePort de Moxa.

Solución: 

Moxa producirá una nueva versión del firmware a finales de mayo de 2016. Mientras tanto el fabricante recomienda deshabilitar los puertos TCP/80, TCP/23 y que los usuarios se aseguren de que los puertos UDP/161, UDP/4800 y TCP/4900 sólo sean accesibles por sistemas confiables. La restricción de los dos últimos puede afectar a la administración remota del dispositivo.

Detalle: 

Las vulnerabilidades encontradas son las siguientes:

  • Almacenamiento en claro de información sensible: algunas cadenas de información se muestran en texto plano cuando se ve el archivo de configuración del dispositivo. Se ha reservado el CVE-2016-2295 para esta vulnerabilidad.
  • CSRF: La aplicación web no comprueba suficientemente si las peticiones enviadas por el usuario. Se ha reservado el CVS-2016-2285 para esta vulnerabilidad.
  • Gestión débil de credenciales: El dispositivo por defecto no tiene contraseña. Se ha reservado el CVE-2016-2285 para esta vulnerabilidad.

Estas vulnerabilidades, que pueden ser explotadas de forma remota, pueden permitir al atacante la ejecución de acciones no autorizadas como los cambios de contraseñas, de parámetros de configuración o reinicio del equipo.