Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la autenticación en Digi RealPort (CVE-2021-36767)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
08/10/2021
Última modificación:
25/09/2023

Descripción

En Digi RealPort hasta la versión 4.10.490, la autenticación se basa en un mecanismo de desafío-respuesta que da acceso a la contraseña del servidor, lo que hace que la protección sea ineficaz. Un atacante puede enviar una solicitud no autenticada al servidor. El servidor responderá con una versión débilmente codificada de la contraseña de acceso al servidor. El atacante puede entonces descifrar este hash fuera de línea con el fin de iniciar sesión con éxito en el servidor

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:digi:realport:*:*:*:*:*:linux:*:* 1.9-40 (incluyendo)
cpe:2.3:a:digi:realport:*:*:*:*:*:windows:*:* 4.10.490 (incluyendo)
cpe:2.3:o:digi:connectport_ts_8\/16_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:connectport_ts_8\/16:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:connectport_lts_8\/16\/32_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:connectport_lts_8\/16\/32:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:passport_integrated_console_server_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:passport_integrated_console_server:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:cm_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:cm:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:portserver_ts_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:portserver_ts:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:portserver_ts_mei_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:digi:portserver_ts_mei:-:*:*:*:*:*:*:*
cpe:2.3:o:digi:portserver_ts_mei_hardened_firmware:*:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información