Múltiples vulnerabilidades en productos Moxa

Fecha de publicación 25/09/2019

Importancia

5 - Crítica

Recursos Afectados

PT-7528 Series, versión 4.0 y anteriores.
PT-7828 Series, versión 3.9 y anteriores.
ioLogik 2500 Series, versión 3.0 y anteriores.
IOxpress Configuration Utility, versión 2.3.0 y anteriores.
MB3170 Series, versión 4.0 y anteriores.
MB3270 Series, versión 4.0 y anteriores.
MB3180 Series, versión 2.0 y anteriores.
MB3280 Series, versión 3.0 y anteriores.
MB3480 Series, versión 3.0 y anteriores.
MB3660 Series, versión 2.2 y anteriores.
EDS-G516E Series, versión 5.2 y anteriores.
EDS-510E Series, versión 5.2 y anteriores.

Descripción

Los investigadores Ilya Karpov y Evgeniy Druzhinin de Rostelecom-Solar, junto con Georgy Zaytsev y Maxim Kozhevnikov de Positive Technologies, han reportado varias vulnerabilidades que afectan a múltiples productos de Moxa.

Solución

Moxa ha desarrollado diferentes actualizaciones para los dispositivos afectados, que se pueden descargar desde su centro de soporte técnico.

Detalle

Los tipos de vulnerabilidades detectadas son los siguientes:

Desbordamiento de búfer basado en pila.
Uso de un algoritmo criptográfico inseguro.
Uso de una clave criptográfica codificada.
Uso de una contraseña codificada.
Requisitos de contraseña débiles.
Exposición de información.
Utilización de algoritmos criptográficos débiles.
Almacenamiento de texto claro y transmisión de información confidencial.
Denegación de servicio.
Desbordamiento de número entero conduce a un desbordamiento del búfer.
CSRF (Cross-site request forgery).
Copia de búfer sin verificar el tamaño de la entrada.

Listado de referencias

PT-7528 and PT-7828 Series Ethernet Switches Vulnerabilities

ioLogik 2542-HSPA Series Controllers and I/Os, and IOxpress Configuration Utility Vulnerabilities

MB3170/MB3180/MB3270/MB3280/MB3480/MB3660 Series Protocol Gateways Vulnerabilities

EDS-G516E and EDS-510E Series Ethernet Switches Vulnerabilities

Etiquetas