Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В устройствах Sierra Wireless AirLink обнаружен десяток уязвимостей

29/04/19

Sierra

Исследователи компании Cisco Talos раскрыли подробности о десятке уязвимостей в устройствах Sierra Wireless AirLink. Наиболее опасные из них позволяют менять системные настройки, выполнять произвольный код и модифицировать пароли.

Проблемы затрагивают несколько моделей маршрутизаторов и шлюзов Sierra Wireless AirLink, обычно используемых на предприятиях для подключения промышленного оборудования, PoS-терминалов, камер, смарт-устройств, датчиков и пр.

В частности, уязвимости были выявлены в шлюзах корпоративного класса AirLink ES450 LTE с версией прошивки 4.9.3. Однако производитель также подтвердил их наличие в защищенных сотовых шлюзах GX400, GX450 и LS300; маршрутизаторах для транспортных средств MP70; промышленных шлюзах RV50/RV50X; а также в компактных маршрутизаторах LX40/60X для IoT-устройств и M2M-приложений. Большая часть уязвимостей присутствует в компоненте ACEManager.

Три уязвимости являются критическими и позволяют неавторизованному атакующему менять любые системные настройки, а также выполнять произвольные команды и код. По шкале оценивания опасности CVSS они получили 9,9 балла из максимальных 10. Проэксплуатировать уязвимости можно, отправив на уязвимое устройство особым образом сконфигурированные HTTP-запросы.

Еще три проблемы были охарактеризованы как высокоопасные. С их помощью злоумышленник может получить и сбросить пароли, а также похитить конфиденциальную информацию.

Уязвимость в компоненте SNMPD позволяет активировать на атакуемом устройстве вшитые учетные данные.

Остальные проблемы были охарактеризованы как средней опасности. В их число входят XSS-, CSRF-уязвимости, а также баги, приводящие к раскрытию информации.

Темы:УгрозыCisco TalosSierra
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...