Vulnerabilidad de evasión de autenticación de MGate de Moxa

Fecha de publicación:

15/07/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes

MGate MB3180, versiones anteriores a v1.8
MGate MB3280, versiones anteriores a v2.7
MGate MB3480, versiones anteriores a v2.6
MGate MB3170, versiones anteriores a v2.5
MGate MB3270, versiones anteriores a v2.7

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los productos MGate de Moxa que podrían permitir a un atacante remoto no autenticado acceder como un usuario válido.

Solución:

Moxa a generado nuevas versiones del firmware para solucionar esta vulnerabilidad. Según el dispositivo se puede descargar de diferentes páginas:

MB3180, v1.8, MB3280, v2.7, y MB3480, v2.6: Descargar aquí.
MB3170, v2.5 y MB3270, v2.7: Descargar aquí.

Detalle:

La vulnerabilidad, que tiene reservado el identificador CVE-2016-5084, permite a un atacante acceder a información sensible a través de la cual puede hacerle fuerza bruta a un parámetro, lo que le permitiría evadir los mecanismos de autenticación del sistema.

Referencias:

Moxa MGate Authentication Bypass Vulnerability

Etiquetas:

Actualización

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de evasión de autenticación de MGate de Moxa

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa

Vulnerabilidad en productos de Johnson Controls

Validación incorrecta del certificado en CODESYS Git