Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en General Electric Multilink Switch

Vulnerabilidades en General Electric Multilink Switch

Fecha de publicación: 
14/01/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Las líneas de productos afectadas son:

  • GE Multilink ML800/1200/1600/2400 Version 4.2.1 y anteriores.
  • GE Multilink ML810/3000/3100 series switch Version 5.2.0 y anteriores.
Descripción: 

IoActive y General Electric anuncian vulnerabilidades que afectan a varias líneas de productos GE Multilink Switch.

Solución: 

Para corregir la vulnerabilidad de credenciales en código y generar nuevas claves RSA, aplicar las actualizaciones de firmware según corresponda:

  • Version 4.2.1 para la línea ML800, ML1200, ML1600 y ML2400.
  • Version 5.2.0 para la linea ML810, ML3000, y ML3100.

Para mitigar la vulnerabilidad de denegación de servicio, se recomienda deshabilitar el interfaz web del producto afectado desde de línea de comandos vía telnet o conexión serie.

Para ampliar información sobre las contramedidas y su aplicación puede consultarse el siguiente documento:

http://www.gedigitalenergy.com/products/support/multilink/MLSB1214.pdf

Detalle: 

La línea de switches GE Multilink ML800 contiene credenciales escritas en el código del firmware, lo que posibilita accesos no autorizados. Se ha reservado el identificador CVE-2014-5419 para esta vulnerabilidad crítica.

Adicionalmente, existe una vulnerabilidad de consumo de recursos en el servidor Web que permite a un atacante causar denegación de servicio a través del envío de paquetes manipulados. Se ha reservado el identificador CVE-2014-5418 para esta vulnerabilidad.