Vulnerabilidades en General Electric Multilink Switch
Las líneas de productos afectadas son:
- GE Multilink ML800/1200/1600/2400 Version 4.2.1 y anteriores.
- GE Multilink ML810/3000/3100 series switch Version 5.2.0 y anteriores.
IoActive y General Electric anuncian vulnerabilidades que afectan a varias líneas de productos GE Multilink Switch.
Para corregir la vulnerabilidad de credenciales en código y generar nuevas claves RSA, aplicar las actualizaciones de firmware según corresponda:
- Version 4.2.1 para la línea ML800, ML1200, ML1600 y ML2400.
- Version 5.2.0 para la linea ML810, ML3000, y ML3100.
Para mitigar la vulnerabilidad de denegación de servicio, se recomienda deshabilitar el interfaz web del producto afectado desde de línea de comandos vía telnet o conexión serie.
Para ampliar información sobre las contramedidas y su aplicación puede consultarse el siguiente documento:
http://www.gedigitalenergy.com/products/support/multilink/MLSB1214.pdf
La línea de switches GE Multilink ML800 contiene credenciales escritas en el código del firmware, lo que posibilita accesos no autorizados. Se ha reservado el identificador CVE-2014-5419 para esta vulnerabilidad crítica.
Adicionalmente, existe una vulnerabilidad de consumo de recursos en el servidor Web que permite a un atacante causar denegación de servicio a través del envío de paquetes manipulados. Se ha reservado el identificador CVE-2014-5418 para esta vulnerabilidad.