Vulnerabilidad en las claves SSH en los archivos /etc/ssh/ssh_host_rsa_key, /etc/ssh/ssh_host_ecdsa_key (CVE-2019-14926)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
28/10/2019
Última modificación:
10/09/2024
Descripción
Se detectó un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Las claves SSH embebidas permiten a un atacante conseguir acceso no autorizado o divulgar datos cifrados en la RTU debido a que las claves no son regeneradas en la instalación inicial o con las actualizaciones de firmware. En otras palabras, estos dispositivos usan valores de clave privada en los archivos /etc/ssh/ssh_host_rsa_key, /etc/ssh/ssh_host_ecdsa_key, y /etc/ssh/ssh_host_dsa_key, que están disponibles públicamente en los sitios web del proveedor.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:mitsubishielectric:smartrtu_firmware:*:*:*:*:*:*:*:* | 2.02 (incluyendo) | |
cpe:2.3:h:mitsubishielectric:smartrtu:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:inea:me-rtu_firmware:*:*:*:*:*:*:*:* | 3.0 (incluyendo) | |
cpe:2.3:h:inea:me-rtu:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página