INCIBE ha coordinat la publicació de tres vulnerabilitats: dos de severitat alta i una de severitat mitjana, que afecten el rúter Movistar 4G, dispositiu maquinari que permet la connexió a Internet, versió ES_WLD71-T1_v2.0.201820.
Anàlisi
Han assignat a estes vulnerabilitats els següents codis, puntuació base CVSS v3.1, vector del CVSS i el tipus de vulnerabilitat CWE:
CVE-2024-2414: 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-419
- CVE-2024-2414: el canal primari està desprotegit en el rúter 4G de Movistar que afecta la versió E S_WLD71-T1_v2.0.201820. Este dispositiu té el servici ‘adb’ obert en el port 5555 i brinda accés a un shell amb privilegis de root.
CVE-2024-2415: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-78
- CVE-2024-2415: vulnerabilitat d’injecció d’ordes en el rúter 4G de Movistar que afecta la versió ES_WLD71-T1_v2.0.201820. Esta vulnerabilitat permet a un usuari autenticat executar ordes dins del rúter, realitzant una sol·licitud POST a la URL ‘/cgi-bin/gui.cgi’.
CVE-2024-2416: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N| CWE-352
- CVE-2024-2416: vulnerabilitat Cross-Site Request Forgery en el rúter 4G de Movistar que afecta la versió ES_WLD71-T1_v2.0.201820. Esta vulnerabilitat permet a un atacant obligar un usuari final a executar accions no desitjades en una aplicació web en la qual està actualment autenticat.
Recursos afectats
Rúter Movistar 4G, versió ES_WLD71-T1_v2.0.20182.
Recomanacions
Vulnerabilitats solucionades en les versions a partir d’ES_WLD71-T1_v2.0.214140, llançada al febrer de 2022.
Referències
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-router-movistar-4g