Vulnerabilidad en los endpoints RPC de CRTC y ODU dependen de un nombre de usuario/contraseña de cuenta estática para el control de acceso en los dispositivos Verizon 5G Home LVSKIHP InDoorUnit (IDU) y OutDoorUnit (ODU) (CVE-2022-28377)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/07/2022
Última modificación:
21/07/2022
Descripción
En los dispositivos Verizon 5G Home LVSKIHP InDoorUnit (IDU) versión 3.4.66.162 y OutDoorUnit (ODU) versión 3.33.101.0, los endpoints RPC de CRTC y ODU dependen de un nombre de usuario/contraseña de cuenta estática para el control de acceso. Esta contraseña puede generarse por medio de un binario incluido en el firmware, después de averiguar la dirección MAC de la interfaz Ethernet base de la IDU, y añadir la cadena DEVICE_MANUFACTURER="Wistron_NeWeb_Corp." a /etc/device_info para replicar el entorno del host. Esto ocurre en /etc/init.d/wnc_factoryssidkeypwd (IDU)
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:verizon:lvskihp_indoorunit_firmware:3.4.66.162:*:*:*:*:*:*:* | ||
| cpe:2.3:h:verizon:lvskihp_indoorunit:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:verizon:lvskihp_outdoorunit_firmware:3.33.101.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:verizon:lvskihp_outdoorunit:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página