Introducción
Rustam Amin, a través de VINCE[1] ha reportado al CISA una vulnerabilidad crítica en dispositivos Nova de Baicells Technologies[2] , cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios.
Análisis
CVE-2023-24508: Algunos dispositivos Nova son vulnerables a la explotación remota de código shell mediante la inyección de comandos HTTP, utilizando la ejecución previa al inicio de sesión con permisos de root.
Recomendaciones
Baicells solucionó esta vulnerabilidad en las versiones de firmware 3.7.11.3 y posteriores. También, recomienda a todos los usuarios que actualicen sus dispositivos RTS/RTD a versiones de firmware 3.7.11.6.
El firmware puede descargarse desde la página de la comunidad de Baicells[3] o actualizarse a través de OMC
Referencias
[1] VINCE[2] ICS Advisory (ICSA-23-033-03)
[3] Baicells community page