Introducción
El investigador Moritz Abrell de SySS GmbH ha reportado a CERT@VDE, en coordinación con Red Lion Europe, 7 vulnerabilidades siendo 2 de ellas de severidad crítica, que afectan a varios productos de MB Connect Line GmbH. La explotación de estas vulnerabilidades podría provocar acceso, no autorizado, a archivos o ejecución remota de código.[1]
Análisis
Las vulnerabilidades críticas encontradas son las siguientes:
- CVE-2024-45274 – Ausencia de autenticación para una función crítica (CWE-306):
Un atacante remoto no autenticado puede ejecutar comandos del sistema operativo a través de UDP en el dispositivo debido a la falta de autenticación. - CVE-2024-45275 – Credenciales embebidas en el software (CWE-798):
Los dispositivos contienen dos cuentas de usuario codificadas con contraseñas codificadas que permiten a un atacante remoto no autenticado tener control total de los dispositivos afectados.
- CVE-2024-45274 – Ausencia de autenticación para una función crítica (CWE-306):
La serie de productos afectados es:
- mbNET.mini versiones 2.2.13 y anteriores
Recomendaciones
Actualizar mbNET.mini a la versión 2.3.1.
Referencias
[1] VDE-2024-056 – MB connect line: Multiple Vulnerabilities in mbNET.mini Product