Argitalpen data: 2022/01/20
Garrantzia:Altua
Kaltetutako baliabideak:
- Bosch AMC2;
- Bosch AMS 4.0;
- Bosch APE = 3.8.x;
- Bosch BIS 4.9.1.
Azalpena:
Bosch-ek bi ahultasun argitaratu ditu, bat larritasun altukoa eta beste bat ertainekoa. Horiek baliatuz autentifikatu gabeko erasotzaile batek sareko trafikoa deszifra lezake eta gailuaren konfigurazioa aldatu.
Konponbidea:
AMS eta BIS 4.0 edo 4.9.1 bertsiora eguneratu, hurrenez hurren.
Xehetasuna:
- AMC2rekiko komunikazioak Blowfish algoritmo kriptografiko bat erabiltzen du zifratu simetrikorako, baina firmwarearen gakoa berreskuratzen bada AMC2ren eta ostalari sistemaren arteko sare trafikoa deszifra liteke. Sare lokalera sarbidea eduki beharra dago, normalean baita azpisare berdinera ere. Ahultasun horretarako CVE-2021-23842 identifikatzailea erabili da.
- Bosch-en AccessIPConfig.exe eta AmcIpConfig.exe software tresnak AMC2 gailuetan hainbat ezarpen konfiguratzeko erabiltzen dira. Tresnak konfiguratutako gailuetan babes pasahitz bat jartzea ahalbidetzen du AMC2 baten konfiguraziora sarbidea murrizteko. Erasotzaile batek babes hori saihets lezake, eta baimendu gabeko aldaketak egin gailuaren konfigurazio datuetan. Ahultasun horretarako CVE-2021-23843 identifikatzailea erabili da.
Etiketak:Eguneraketa, Azpiegitura kritikoak, Ahultasuna
