Vulnerabilidad en la integridad de las aplicaciones en las RTUs ACE1000 de Motorola (CVE-2022-30269)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
26/07/2022
Última modificación:
02/08/2022
Descripción
Motorola ACE1000 RTUs versiones hasta 02-05-2022, manejan inapropiadamente la integridad de las aplicaciones. Permiten la instalación de aplicaciones personalizadas por medio del software STS, el kit de herramientas C o el ACE1000 Easy Configurator. En el caso del Easy Configurator, las imágenes de las aplicaciones (como archivos PLX/DAT/APP/CRC) son cargadas por medio de la Interfaz de Usuario Web. En el caso del kit de herramientas C, son transferidas e instaladas mediante SFTP/SSH. En cada caso, las imágenes de la aplicación no tenían autenticación (en forma de firma de firmware) y sólo eran basadas en sumas de comprobación no seguras para las comprobaciones de integridad periódicas
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:motorola:ace1000_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:motorola:ace1000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página