Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la integridad de las aplicaciones en las RTUs ACE1000 de Motorola (CVE-2022-30269)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
26/07/2022
Última modificación:
02/08/2022

Descripción

Motorola ACE1000 RTUs versiones hasta 02-05-2022, manejan inapropiadamente la integridad de las aplicaciones. Permiten la instalación de aplicaciones personalizadas por medio del software STS, el kit de herramientas C o el ACE1000 Easy Configurator. En el caso del Easy Configurator, las imágenes de las aplicaciones (como archivos PLX/DAT/APP/CRC) son cargadas por medio de la Interfaz de Usuario Web. En el caso del kit de herramientas C, son transferidas e instaladas mediante SFTP/SSH. En cada caso, las imágenes de la aplicación no tenían autenticación (en forma de firma de firmware) y sólo eran basadas en sumas de comprobación no seguras para las comprobaciones de integridad periódicas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:motorola:ace1000_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:motorola:ace1000:-:*:*:*:*:*:*:*