Vulnerabilidad en Cosy+ (CVE-2024-33895)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
02/08/2024
Última modificación:
04/11/2025
Descripción
Los dispositivos Cosy+ que ejecutan un firmware 21.x inferior a 21.2s10 o un firmware 22.x inferior a 22.1s3 utilizan una clave única para cifrar los parámetros de configuración. Esto se solucionó en las versiones 21.2s10 y 22.1s3, la clave ahora es única por dispositivo.
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 21.0 (incluyendo) | 21.2s10 (incluyendo) |
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 22.0 (incluyendo) | 22.1s3 (incluyendo) |
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_apac:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_eu:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_jp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_na:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_ethernet:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_wifi:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.syss.com/posts/hacking-a-secure-industrial-remote-access-gateway/
- https://hmsnetworks.blob.core.windows.net/nlw/docs/default-source/products/cybersecurity/security-advisory/hms-security-advisory-2024-07-29-001--ewon-several-cosy--vulnerabilities.pdf
- https://www.ewon.biz/products/cosy/ewon-cosy-wifi
- https://www.hms-networks.com/cyber-security
- http://seclists.org/fulldisclosure/2024/Aug/22