Introducció
Rustam Amin, a través de VINCE[1] ha reportat al CISA una vulnerabilitat crítica en dispositius Nova de Baicells Technologies[2] , l’explotació del qual podria permetre a un atacant executar comandes arbitràries.
Anàlisi
CVE-2023-24508: Alguns dispositius Nova són vulnerables a l’explotació remota de codi shell mitjançant la injecció de comandes HTTP, utilitzant l’execució prèvia a l’inici de sessió amb permisos de root.
Recomanacions
Baicells va solucionar aquesta vulnerabilitat a les versions de firmware 3.7.11.3 i posteriors. També recomana a tots els usuaris que actualitzin els dispositius RTS/RTD a versions de firmware 3.7.11.6.
El firmware es pot descarregar des de la pàgina de la comunitat de Baicells[3] o actualitzar-se a través d’OMC.
Referències
[1] VINCE[2] ICS Advisory (ICSA-23-033-03)
[3] Baicells community page