Introducció
Francesco Benvenuto de Cisco Talos[1] ha descobert recentment nou vulnerabilitats al router industrial Robustel R1510, diverses de les quals podrien permetre que un adversari injecti codi al sistema operatiu de forma remota.
Anàlisi
Les vulnerabilitats crítiques s’han registrat amb els identificadors següents:
CVE-2022-33325, CVE-2022-33329, CVE-2022-33312 i CVE-2022-33314: Un atacant podria injectar ordres al sistema operatiu del router en enviar una sol·licitud de xarxa especialment dissenyada.
CVE-2022-34845, CVE-2022-32585 i CVE-2022-34850: Un usuari podria executar codi arbitrari iniciant sessió com a administrador.
CVE-2022-35261 i CVE-2022-35271: Un atacant podria enviar una sol·licitud de xarxa especialment dissenyada per realitzar, una denegació de servei a la funcionalitat hashFirst del servidor web del dispositiu, podent bloquejar-lo.
CVE-2022-28127 i CVE-2022-33897: Un atacant podria eliminar fitxers arbitraris al servidor web del dispositiu, encara que s’hagi implementat una verificació de ruta transversal.
Recomenacions
Cisco Talos ha comprovat que les versions 3.3.0 i 3.1.16 del router Robustel R1510 són explotables amb aquestes vulnerabilitats, de manera que recomana actualitzar els productes a les seves versions més recents tan aviat com sigui possible.
Les regles següents de Snort detecten els intents d’explotació contra aquesta vulnerabilitat: 60007 – 60035, 60388-60391, 60393 i 60455. És possible que es publiquin regles addicionals en el futur i les regles actuals estan subjectes a canvis, en espera d’informació addicional sobre la vulnerabilitat. Per obtenir la informació més actualitzada sobre les regles, consulteu Snort.org[2] .
Referències
[1] Cisco Talos Intelligence Group[2] https://snort.org/