Vulnerabilidad de evasión de autenticación de MGate de Moxa

Fecha de publicación:

15/07/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes

MGate MB3180, versiones anteriores a v1.8
MGate MB3280, versiones anteriores a v2.7
MGate MB3480, versiones anteriores a v2.6
MGate MB3170, versiones anteriores a v2.5
MGate MB3270, versiones anteriores a v2.7

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los productos MGate de Moxa que podrían permitir a un atacante remoto no autenticado acceder como un usuario válido.

Solución:

Moxa a generado nuevas versiones del firmware para solucionar esta vulnerabilidad. Según el dispositivo se puede descargar de diferentes páginas:

MB3180, v1.8, MB3280, v2.7, y MB3480, v2.6: Descargar aquí.
MB3170, v2.5 y MB3270, v2.7: Descargar aquí.

Detalle:

La vulnerabilidad, que tiene reservado el identificador CVE-2016-5084, permite a un atacante acceder a información sensible a través de la cual puede hacerle fuerza bruta a un parámetro, lo que le permitiría evadir los mecanismos de autenticación del sistema.

Referencias:

Moxa MGate Authentication Bypass Vulnerability

Etiquetas:

Actualización

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de evasión de autenticación de MGate de Moxa

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS