Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de MB connect line

Fecha de publicación 19/03/2025
Identificador
INCIBE-2025-0145
Importancia
5 - Crítica
Recursos Afectados
  • mbCONNECT24: versiones anteriores a 2.16.2;
  • mbNET: versiones anteriores a 8.2.0;
  • mbNET.rokey: versiones anteriores a 8.2.0;
  • mymbCONNECT24: versiones anteriores a 2.16.2.
Descripción

CERT@VDE, en coordinación con MB connect line GmbH, ha publicado 2 vulnerabilidades: una de severidad crítica y otra de severidad alta, cuya explotación podría provocar una pérdida total de confidencialidad e integridad en los dispositivos individuales afectados, o permitir a un atacante hacerse pasar por el dispositivo real.

Solución

MB connect line GmbH recomienda actualizar los productos afectados a las siguientes versiones de firmware:

  • mbCONNECT24, versión 2.16.2;
  • mbNET, versión 8.2.0;
  • mbNET.rokey, versión 8.2.0;
  • mymbCONNECT24, versión 2.16.2;
Detalle

Para la vulnerabilidad de severidad crítica, un atacante remoto, no autenticado, podría obtener acceso a la API del cloud debido a la falta de autenticación para una función crítica en los dispositivos afectados. La explotación de esta vulnerabilidad podría permitir a un atacante provocar una pérdida total de confidencialidad e integridad para dispositivos individuales o para todo el servicio. Se ha asignado el identificador CVE-2024-23943 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media, un usuario local podría encontrar un archivo de configuración en la estación de trabajo del cliente con datos confidenciales sin cifrar. Esto permitiría a un atacante suplantar la identidad del dispositivo o impedir que este acceda al portal en la nube, lo que provocaría un ataque de denegación de servicio (DoS). Se ha asignado el identificador CVE-2024-23942 para esta vulnerabilidad.