Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección de comandos en dispositivos Nova de Baicells Technologies

Fecha de publicación 03/02/2023
Identificador

INCIBE-2023-0038

Importancia
5 - Crítica
Recursos Afectados

Esta vulnerabilidad afecta a los siguientes dispositivos Nova LTE TDD eNodeB con versiones de firmware hasta RTS/RTD 3.6.6:

  • Nova 227,
  • Nova 233,
  • Nova 243,
  • Nova 246.
Descripción

Rustam Amin, ha reportado una vulnerabilidad crítica en dispositivos Nova de Baicells Technologies, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios.

Solución

Baicells solucionó esta vulnerabilidad en las versiones de firmware 3.7.11.3 y posteriores. También, recomienda a todos los usuarios que actualicen sus dispositivos RTS/RTD a versiones de firmware 3.7.11.6.

El firmware puede descargarse desde la página de la comunidad de Baicells o actualizarse a través de OMC.

Detalle

Algunos dispositivos Nova son vulnerables a la explotación remota de código shell mediante la inyección de comandos HTTP, utilizando la ejecución previa al inicio de sesión con permisos de root. Se ha asignado el identificador CVE-2023-24508 para esta vulnerabilidad.

Encuesta valoración