INCIBE ha coordinado la publicación de 3 vulnerabilidades: dos de severidad alta y una de severidad media, que afectan al router Movistar 4G, dispositivo hardware que permite la conexión a Internet, versión ES_WLD71-T1_v2.0.201820.
Análisis
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2024-2414: 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-419
- CVE-2024-2414: el canal primario está desprotegido en el router 4G de Movistar que afecta a la versión E S_WLD71-T1_v2.0.201820. Este dispositivo tiene el servicio ‘adb’ abierto en el puerto 5555 y brinda acceso a un shell con privilegios de root.
CVE-2024-2415: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-78
- CVE-2024-2415: vulnerabilidad de inyección de comandos en el router 4G de Movistar que afecta a la versión ES_WLD71-T1_v2.0.201820. Esta vulnerabilidad permite a un usuario autenticado ejecutar comandos dentro del router, realizando una solicitud POST a la URL ‘/cgi-bin/gui.cgi’.
CVE-2024-2416: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N| CWE-352
- CVE-2024-2416: vulnerabilidad Cross-Site Request Forgery en el router 4G de Movistar que afecta a la versión ES_WLD71-T1_v2.0.201820. Esta vulnerabilidad permite a un atacante obligar a un usuario final ejecutar acciones no deseadas en una aplicación web en la que está actualmente autenticado.
Recursos afectados
Router Movistar 4G, versión ES_WLD71-T1_v2.0.20182.
Recomendaciones
Vulnerabilidades solucionadas en las versiones a partir de ES_WLD71-T1_v2.0.214140, lanzada en febrero de 2022.
Referencias
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-router-movistar-4g