Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01491: Уязвимость исполняемого файла iplogging.cgi микропрограммного обеспечения ALEOS маршрутизаторов Sierra Wireless, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость исполняемого файла iplogging.cgi микропрограммного обеспечения ALEOS маршрутизаторов Sierra Wireless существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Sierra Wireless Inc.
Наименование ПО	ALEOS
Версия ПО	до 4.9.7 включительно до 4.16.0
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Sierra Wireless Inc. ALEOS до 4.9.7 включительно Sierra Wireless AirLink GX 440 Sierra Wireless Inc. ALEOS до 4.9.7 включительно SierraWireless gx450 Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless mp70 Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless rv50 Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless rv50x Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless rv55 Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless lx40 Sierra Wireless Inc. ALEOS до 4.16.0 SierraWireless lx60
Тип ошибки	Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)
Идентификатор типа ошибки	CWE-78
Класс уязвимости	Уязвимость кода
Дата выявления	10.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение доступа к ACEManager из внешних сетей (Интернет); - использование Sierra Wireless Airlink Management System (ALMS) или альтернативной платформы управления устройствами для удаленного управления устройствами ALEOS; - использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет). Использование рекомендаций производителя: https://source.sierrawireless.com/resources/security-bulletins/sierra-wireless-technical-bulletin---swi-psa-2023-001/#sthash.uYn9feM9.dpbs
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.cisa.gov/news-events/ics-advisories/icsa-23-026-04 https://source.sierrawireless.com/resources/security-bulletins/sierra-wireless-technical-bulletin---swi-psa-2023-001/#sthash.uYn9feM9.dpbs https://www.otorio.com/blog/airlink-acemanager-vulnerabilities/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-46649 ICSA: ICSA-23-026-04
Прочая информация	Данные уточняются

Последние изменения