Introducción
Ads-tec Industrial IT GmbH, en coordinación con CERT@VDE, han reportado varias vulnerabilidades, entre las que se encuentra una de severidad crítica, qué de ser explotadas, podrían producir una Denegación de servicio (DoS) o la caída de Eclipse Mosquitto. Aunque también existe la posibilidad de ejecución de código en remoto (RCE) esta opción está mitigada si se tiene configurada la red de forma segura y hay aislamiento a nivel de usuario.[1]
Análisis
Las vulnerabilidad crítica encontrada es la siguiente:
- CVE-2024-10525 – Escritura fuera de límites (CWE-787) Desbordamiento de buffer basado en montón (CWE-122):
La vulnerabilidad de severidad crítica consiste en un desbordamiento de búfer basado en montículo. Se produce en Eclipse Mosquitto desde la versión 1.3.2 hasta la 2.0.18. Si un agente malicioso envía un paquete SUBACK manipulado sin códigos de motivo (reason), un cliente que usa libmosquitto puede acceder a memoria que esté fuera de los límites cuando actúa en su devolución de llamada on_subscribe. Esto afecta a los clientes mosquitto_sub y mosquitto_rr.
Los siguientes cortafuegos ADS-TEC se han visto afectados por esta vulnerabilidad:
- IRF1000, versiones anteriores a 2.1.0;
- IRF2000, versiones anteriores a 6.1.0;
- IRF3000, versiones anteriores a 2.1.0.
Recomendaciones
- Actualizar los dispositivos a su última versión disponible.
Referencias
[1] CVE CERT – VDE-2025-033 – ads-tec Industrial IT: Mosquitto MQTT Client Vulnerability in ADS-TEC IRF Products