Introducció
L’investigador, Raphael Ruf de terreActive AG ha reportat a CISA, 3 vulnerabilitats sent 2 d’elles de severitat crítica, que afecten la línia de productes DDC4000. L’explotació d’estes vulnerabilitats podria provocar que un atacant aconseguira permisos d’administrador absoluts en el sistema.[1]
Anàlisi
Les vulnerabilitats crítiques trobades són les següents:
- CVE-2024-41717 – Limitació incorrecta de nom de ruta a un directori restringit (Path Traversal) (CWE-22):
La sèrie DDC4000 de Kieback & Peter és vulnerable a una vulnerabilitat de path traversal, que pot permetre que un atacant no autenticat llija arxius en el sistema. - CVE-2024-43698 – Ús de credencials febles (CWE-1391):
La sèrie DDC4000 de Kieback & Peter utilitza credencials febles, la qual cosa pot permetre que un atacant no autenticat obtinga drets d’administrador complets en el sistema.
- CVE-2024-41717 – Limitació incorrecta de nom de ruta a un directori restringit (Path Traversal) (CWE-22):
La sèrie de productes afectats és:
- DDC4100, versions 1.7.4 i anteriors.
- Versions 1.12.14 i anteriors dels models:
- DDC4002;
- DDC4200;
- DDC4200-L;
- DDC4400.
- Versions 1.17.6 i anteriors dels models:
- DDC4002e;
- DDC4200e;
- DDC4400e;
- DDC4020e;
- DDC4040e.
Recomanacions
- Els següents models han arribat al final de la seua vida, per la qual cosa ja no reben suport:
- DDC4100;
- DDC4002;
- DDC4200;
- DDC4200-L;
- Es recomana als usuaris actualitzar els controladors i contactar amb les oficines locals de Kieback&Peter per a actualitzar el microprogramari dels sistemes a la versió 1.21.0 o posteriors en els següents models:
- DDC4002e;
- DDC4200e;
- DDC4400e;
- DDC4020e;
- Els següents models han arribat al final de la seua vida, per la qual cosa ja no reben suport:
Referències
[1] ICSA-24-291-05 – Kieback&Peter DDC4000 Series