Уязвимость BDU:2023-06963

Уязвимость BDU:2023-06963

Идентификатор: BDU:2023-06963.

Наименование уязвимости: Уязвимость функции diag_ping_start (validate.so) микропрограммного обеспечения промышленных Wi-FI маршрутизаторов Yifan YF325, позволяющая нарушителю выполнять произвольные команды.

Описание уязвимости: Уязвимость функции diag_ping_start (validate.so) микропрограммного обеспечения промышленных Wi-FI маршрутизаторов Yifan YF325 связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства Xiamen Yifan Communication Technology Co., Ltd. Yifan YF325 1.0_20221108 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 11.10.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Обновление программного обеспечения до актуальной версии

Компенсирующие меры:
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
— ограничение доступа к устройству из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN).
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-32632. TALOS-2023-1767.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://talosintelligence.com/vulnerability_reports/TALOS-2023-1767
https://safe-surf.ru/upload/VULN-new/VULN.2023-10-18.1.pdf

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: