Vulnerabilidades en routers AirLink de Sierra Wireless

Fecha de publicación:

27/01/2023

Identificador:

INICBE-2023-0030

Importancia:

4 - Alta

Recursos afectados:

Routers AirLink con el software ALEOS:

ES450, GX450: versiones 4.9.7 y anteriores.
MP70, RV50, RV50x, RV55, LX 40, LX60: versiones anteriores a 4.16.0.

Descripción:

Roni Gavrilov y Eran Jacob de OTORIO informaron sobre dos vulnerabilidades de severidad media y alta, que podrían permitir la pérdida de información confidencial y la ejecución remota de código.

Solución:

Sierra Wireless recomienda actualizar los siguientes dispositivos afectados:

MP70, RV50, RV50x, RV55, LX 40, LX60 a ALEOS versión 4.16.0 o posterior.
ES450, GX450 a ALEOS versión 4.9.8 (cuando esté disponible) o posterior.

Detalle:

La vulnerabilidad de severidad alta podría permitir a un usuario con credenciales válidas y acceso a la interfaz de ACEManger ejecutar código arbitrario en el dispositivo. Se ha asignado el identificador CVE-2022-46649 para esta vulnerabilidad.

Se ha asignado el identificador CVE-2022-46650 para la vulnerabilidad de severidad media.

Referencias:

ICS Advisory (ICSA-23-026-04) - Sierra Wireless AirLink Router with ALEOS Software

Etiquetas:

Actualización

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidades en routers AirLink de Sierra Wireless

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron