Vulnerabilidad en Motorola MOSCAD and ACE line of RTUs (CVE-2022-30276)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
26/07/2022
Última modificación:
13/02/2024
Descripción
Motorola MOSCAD and ACE line of RTUs versiones hasta 02-05-2022, omiten un requisito de autenticación. Cuentan con módulos de puerta de enlace IP que permiten la interconexión entre las redes de Comunicación de Enlace de Datos de Motorola (MDLC) (potencialmente a través de una variedad de enlaces de serie, RF y/o Ethernet) y las redes TCP/IP. La comunicación con las RTU detrás de la pasarela es realizado mediante el protocolo propietario IPGW (5001/TCP). Este protocolo no presenta ninguna característica de autenticación, lo que permite a cualquier atacante capaz de comunicarse con el puerto en cuestión invocar (un subconjunto de) la funcionalidad deseada
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:motorola:moscad_ip_gateway_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:motorola:moscad_ip_gateway:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:motorola:ace_ip_gateway_\(4600\)_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:motorola:ace_ip_gateway_\(4600\):-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página