Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de New Rock Technologies

Fecha de publicación 31/01/2025
Identificador
INCIBE-2024-0050
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de  Cloud Connected Devices están afectadas:

  • OM500 IP-PBX: todas las versiones;
  • MX8G VoIP Gateway: todas las versiones;
  • NRP1302/P Desktop IP Phone: todas las versiones.
Descripción

Tomer Goldschmidt, de Claroty Team82, ha reportado 2 vulnerabilidades: una de severidad crítica y una media, cuya explotación podría permitir a un atacante tomar el control total del dispositivo.

Solución

El fabricante New Rock Technologies no ha respondido a los intentos de contacto por parte de CISA, por lo que se recomienda a los usuarios intentar contactar directamente con el fabricante, así como aplicar las medidas de mitigación descritas en el aviso de CISA.

Detalle

La vulnerabilidad crítica, durante el proceso de gestión de comandos rpc, podría permitir a atacantes remotos tomar el control de dispositivos arbitrarios conectados a la nube. Se ha asignado el identificador CVE-2025-0680 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-0681.