СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
08.11.2023
#ИБ#Инфра

Уязвимость BDU:2023-08498

Уязвимость BDU:2023-08498

Идентификатор: BDU:2023-08498.

Наименование уязвимости: Уязвимость операционной системы ALEOS беспроводных маршрутизаторов Sierra Wireless MP70, RV50x, RV55, LX40, LX60 ES450, GX450, позволяющая нарушителю выполнить произвольный код с root-привилегиями.

Описание уязвимости: Уязвимость операционной системы ALEOS беспроводных маршрутизаторов Sierra Wireless MP70, RV50x, RV55, LX40, LX60 ES450, GX450 связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями
Уязвимое ПО: Операционная система Sierra Wireless Inc. ALEOS до 4.17.0.12 | Операционная система Sierra Wireless Inc. ALEOS до 4.17.0.12 | Операционная система Sierra Wireless Inc. ALEOS до 4.17.0.12 | Операционная система Sierra Wireless Inc. ALEOS до 4.17.0.12 | Операционная система Sierra Wireless Inc. ALEOS до 4.17.0.12 | Операционная система Sierra Wireless Inc. ALEOS до 4.9.9 | Операционная система Sierra Wireless Inc. ALEOS до 4.9.9 |

Наименование ОС и тип аппаратной платформы: ALEOS до 417012 MP70 | ALEOS до 417012 SierraWireless rv50x | ALEOS до 417012 SierraWireless rv55 | ALEOS до 417012 SierraWireless lx40 | ALEOS до 417012 SierraWireless lx60 | ALEOS до 499 Sierra Wireless ES450 | ALEOS до 499 Sierra Wireless GX450 |
Дата выявления: 08.11.2023.
CVSS 2.0: AV:A/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— ограничение доступа к компоненту ACEManager;
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— отключение режима отладки на устройствах;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://source.sierrawireless.com/resources/security-bulletins/sierra-wireless-technical-bulletin—swi-psa-2023-006/#sthash.6KUVtE6w.dpbs.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-40465.

Тип ошибки CWE: CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://source.sierrawireless.com/resources/security-bulletins/sierra-wireless-technical-bulletin—swi-psa-2023-006/#sthash.6KUVtE6w.dpbs

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: