Vulnerabilidad de evasión de autenticación de MGate de Moxa

Fecha de publicación:

15/07/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes

MGate MB3180, versiones anteriores a v1.8
MGate MB3280, versiones anteriores a v2.7
MGate MB3480, versiones anteriores a v2.6
MGate MB3170, versiones anteriores a v2.5
MGate MB3270, versiones anteriores a v2.7

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los productos MGate de Moxa que podrían permitir a un atacante remoto no autenticado acceder como un usuario válido.

Solución:

Moxa a generado nuevas versiones del firmware para solucionar esta vulnerabilidad. Según el dispositivo se puede descargar de diferentes páginas:

MB3180, v1.8, MB3280, v2.7, y MB3480, v2.6: Descargar aquí.
MB3170, v2.5 y MB3270, v2.7: Descargar aquí.

Detalle:

La vulnerabilidad, que tiene reservado el identificador CVE-2016-5084, permite a un atacante acceder a información sensible a través de la cual puede hacerle fuerza bruta a un parámetro, lo que le permitiría evadir los mecanismos de autenticación del sistema.

Referencias:

Moxa MGate Authentication Bypass Vulnerability

Etiquetas:

Actualización

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de evasión de autenticación de MGate de Moxa

Consumo incontrolado de recursos en múltiples productos de Mitsubishi Electric

Vulnerabilidad de escalada de privilegios locales en GE Digital CIMPLICITY

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3