Múltiples vulnerabilidades en productos Moxa

Fecha de publicación 25/09/2019
Importancia
5 - Crítica
Recursos Afectados
  • PT-7528 Series, versión 4.0 y anteriores.
  • PT-7828 Series, versión 3.9 y anteriores.
  • ioLogik 2500 Series, versión 3.0 y anteriores.
  • IOxpress Configuration Utility, versión 2.3.0 y anteriores.
  • MB3170 Series, versión 4.0 y anteriores.
  • MB3270 Series, versión 4.0 y anteriores.
  • MB3180 Series, versión 2.0 y anteriores.
  • MB3280 Series, versión 3.0 y anteriores.
  • MB3480 Series, versión 3.0 y anteriores.
  • MB3660 Series, versión 2.2 y anteriores.
  • EDS-G516E Series, versión 5.2 y anteriores.
  • EDS-510E Series, versión 5.2 y anteriores.
Descripción

Los investigadores Ilya Karpov y Evgeniy Druzhinin de Rostelecom-Solar, junto con Georgy Zaytsev y Maxim Kozhevnikov de Positive Technologies, han reportado varias vulnerabilidades que afectan a múltiples productos de Moxa.

Solución

Moxa ha desarrollado diferentes actualizaciones para los dispositivos afectados, que se pueden descargar desde su centro de soporte técnico.

Detalle

Los tipos de vulnerabilidades detectadas son los siguientes:

  • Desbordamiento de búfer basado en pila.
  • Uso de un algoritmo criptográfico inseguro.
  • Uso de una clave criptográfica codificada.
  • Uso de una contraseña codificada.
  • Requisitos de contraseña débiles.
  • Exposición de información.
  • Utilización de algoritmos criptográficos débiles.
  • Almacenamiento de texto claro y transmisión de información confidencial.
  • Denegación de servicio.
  • Desbordamiento de número entero conduce a un desbordamiento del búfer.
  • CSRF (Cross-site request forgery).
  • Copia de búfer sin verificar el tamaño de la entrada.

Encuesta valoración