Múltiples vulnerabilidades en el controlador Mark Vle de GE
Fecha de publicación 09/10/2019
Importancia
3 - Media
Recursos Afectados
Todas las versiones del controlador Mark Vle.
Descripción
El investigador Sharon Brizinov de Claroty ha reportado varias vulnerabilidades en el software que afecta al controlador Mark Vle. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante la lectura, escritura o ejecución comandos en el controlador.
Solución
GE recomienda las siguientes soluciones para mitigar estos problemas:
- Deshabilitar el servicio Telnet, que se encuentra habilitado por defecto en el controlador Mark Vle en las versiones 6.0 y anteriores.
- Cambiar la contraseña al desplegar el controlador Mark Vle dentro del entorno operativo.
Detalle
- Una vulnerabilidad se debe a una implementación insegura del protocolo Telnet en el dispositivo. Un atacante podría autenticarse con credenciales predeterminadas. Se ha reservado el identificador CVE-2019-13554 para esta vulnerabilidad.
- La otra vulnerabilidad se debe a la existencia de credenciales embebidas, con privilegios de root, en el dispositivo. Un atacante podría acceder controlador con privilegios de root.
Listado de referencias
Etiquetas