Múltiples vulnerabilidades en módulos de comunicaciones B426 de Bosch

Fecha de publicación 28/05/2021
Importancia
4 - Alta
Recursos Afectados
  • CVE-2021-23845:
    • Bosch B426, versiones de firmware anteriores a 03.08;
    • Bosch B426-CN/B429- CN, versiones de firmware anteriores a 03.08;
    • Bosch B426-M, versiones de firmware anteriores a 03.10.
  • CVE-2021-23846: Bosch B426, versiones de firmware:
    • 03.01.0004;
    • 03.02.002;
    • 03.03.0009;
    • 03.05.0003.
Descripción

Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, ha reportado 2 vulnerabilidades, ambas con severidad alta, de tipo control de acceso inadecuado y envío de información confidencial en claro.

Solución
  • CVE-2021-23845: actualizar productos afectados a la versión de firmware 3.08 y superiores.
  • CVE-2021-23846: actualizar productos afectados a la versión de firmware 3.11.5 y superiores.

Si no es posible actualizar, se pueden utilizar los enfoques de mitigación firewalling (no exponer los dispositivos directamente a Internet o a otras redes inseguras, incluyendo port-forwarding) y el filtrado de IP.

Detalle
  • Esta vulnerabilidad podría permitir a un atacante secuestrar una sesión mientras un usuario está registrado en la página web de configuración. Se ha asignado el identificador CVE-2021-23845 para esta vulnerabilidad.
  • Cuando se utiliza el protocolo HTTP la contraseña del usuario se transmite como un parámetro de texto en claro, por lo que un atacante podría obtenerla mediante un ataque MITM (Man-in-the-Middle). Se ha asignado el identificador CVE-2021-23846 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
BOSCH-SA-196933-BT - Several Vulnerabilities in Bosch B426, B426-CN/B429-CN, and B426-M
Etiquetas