Múltiples vulnerabilidades en productos de MB connect line
- mbCONNECT24: versiones anteriores a 2.16.2;
- mbNET: versiones anteriores a 8.2.0;
- mbNET.rokey: versiones anteriores a 8.2.0;
- mymbCONNECT24: versiones anteriores a 2.16.2.
CERT@VDE, en coordinación con MB connect line GmbH, ha publicado 2 vulnerabilidades: una de severidad crítica y otra de severidad alta, cuya explotación podría provocar una pérdida total de confidencialidad e integridad en los dispositivos individuales afectados, o permitir a un atacante hacerse pasar por el dispositivo real.
MB connect line GmbH recomienda actualizar los productos afectados a las siguientes versiones de firmware:
- mbCONNECT24, versión 2.16.2;
- mbNET, versión 8.2.0;
- mbNET.rokey, versión 8.2.0;
- mymbCONNECT24, versión 2.16.2;
Para la vulnerabilidad de severidad crítica, un atacante remoto, no autenticado, podría obtener acceso a la API del cloud debido a la falta de autenticación para una función crítica en los dispositivos afectados. La explotación de esta vulnerabilidad podría permitir a un atacante provocar una pérdida total de confidencialidad e integridad para dispositivos individuales o para todo el servicio. Se ha asignado el identificador CVE-2024-23943 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media, un usuario local podría encontrar un archivo de configuración en la estación de trabajo del cliente con datos confidenciales sin cifrar. Esto permitiría a un atacante suplantar la identidad del dispositivo o impedir que este acceda al portal en la nube, lo que provocaría un ataque de denegación de servicio (DoS). Se ha asignado el identificador CVE-2024-23942 para esta vulnerabilidad.