[SCI] Múltiples vulnerabilidades en productos InHand Networks

Introducción

Roni Gavrilov de Otorio[1], ha reportado 5 vulnerabilidades, una de severidad crítica, dos altas y dos medias, que afectan a InRouter de la empresa InHand Networks[2]. La explotación exitosa de estas vulnerabilidades podría permitir la divulgación de información confidencial en texto sin cifrar, la inyección de comandos del sistema operativo, el uso de un hash unidireccional con un salt predecible, el control de acceso inadecuado y el uso de valores insuficientemente aleatorios.

 

Análisis

A la vulnerabilidad crítica se le ha asignado el siguiente identificador:

CVE-2022-22600: La vulnerabilidad crítica permite que un atacante no autorizado que conozca el nombre de un tema existente del protocolo MQTT podría enviar y recibir mensajes. Esto incluye la capacidad de enviar comandos de configuración GET/SET, de reinicio y actualizaciones de firmware.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22597, CVE-2022-22601, CVE-2022-22599 y CVE-2022-22598.

 

Recomendaciones

Se recomienda a los usuarios que actualicen el firmware del dispositivo afectado a la versión más reciente.

 

Referencias

[1] OTORIO | Industrial CyberSecurity
[2] InHand Networks