Skip to main content

Software de fusión WL3000 de Hughes Network Systems

septiembre 5, 2024


Ver CSAF

1. RESUMEN EJECUTIVO

  • Versión 4.7.1 de CVSS
  • ATENCIÓN:Baja complejidad de ataque
  • Proveedor:Sistemas de red Hughes
  • Equipo:Software de fusión WL3000
  • Vulnerabilidades:Credenciales insuficientemente protegidas, falta de cifrado de datos confidenciales

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante obtener acceso de solo lectura a la información de configuración de la red y a los datos de configuración del terminal.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Los siguientes flujos de trabajo de Hughes Network Systems se ven afectados:

  • Software WL3000 Fusion: versiones anteriores a la 2.7.0.10

3.2 Descripción general de vulnerabilidades

3.2.1 CREDENCIALES INSUFICIENTEMENTE PROTEGIDAS CWE-522

Credenciales para acceder a la información de configuración del dispositivo almacenada sin cifrar en la memoria flash. Estas credenciales permitirían el acceso de solo lectura a la información de configuración de la red y a los datos de configuración del terminal.

CVE-2024-39278 Se le ha asignado a esta vulnerabilidad una puntuación base de CVSS v3.1 de 4,2; la cadena de vector CVSS es (AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-39278Se ha calculado una puntuación base de 5,1; la cadena vectorial CVSS es (CVSS4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N).

3.2.2 FALTA CIFRADO DE DATOS SENSIBLES CWE-311

Las credenciales para acceder a la configuración del dispositivo se transmitieron mediante un protocolo no cifrado. Estas credenciales permitirían el acceso de solo lectura a la información de configuración de la red y a los datos de configuración del terminal.

CVE-2024-42495 Se le ha asignado a esta vulnerabilidad una puntuación base de CVSS v3.1 de 6,5; la cadena de vector CVSS es (AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-42495Se ha calculado una puntuación base de 7,1; la cadena vectorial CVSS es (CVSS4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

  • SECTORES DE INFRAESTRUCTURA CRÍTICA: Tecnologías de la información
  • PAÍSES/ZONAS DESPLIEGADAS: Estados Unidos
  • UBICACIÓN DE LA SEDE CENTRAL DE LA EMPRESA: Estados Unidos

3.4 INVESTIGADOR

Un investigador anónimo informó estas vulnerabilidades a CISA.

4. MITIGACIONES

Hughes Network Systems ha corregido las vulnerabilidades, lo que no requiere ninguna acción por parte del usuario. Cualquier pregunta o inquietud debe dirigirse a Atención al cliente de Hughes Network Systems.

CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:

  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, garantizando que estén No accesible desde internet.
  • Ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes comerciales.
  • Cuando se requiere acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Además, tenga en cuenta que la seguridad de una VPN depende de los dispositivos conectados.

CISA recuerda a las organizaciones que deben realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también ofrece una sección para Prácticas recomendadas para la seguridad de los sistemas de control en la página web del ICS en cisa.gov/icsHay varios productos CISA que detallan las mejores prácticas de defensa cibernética disponibles para lectura y descarga, incluidos Mejorar la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para Defensa proactiva de los activos del ICS.

La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web del ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B: Estrategias específicas de detección y mitigación de intrusiones cibernéticas.

Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento, no se ha informado a la CISA de ninguna explotación pública conocida que tenga como objetivo específico estas vulnerabilidades. Estas vulnerabilidades no se pueden explotar de forma remota.

5. ACTUALIZAR HISTORIAL

  • 5 de agosto de 2024: publicación inicial



Source link

Translate »