Mike Davis, investigador de seguridad de IOActive, reportó una vulnerabilidad en appliances Monroe Electronics DASDEC-I y DASDEC-II la cual permitiría obtener la clave SSH de root para el acceso al dispositivo. Catalogada con nivel importancia Alta.
Recursos afectados
- Versiones de software anteriores a 2.0-2 para los dispositivos DASDEC-I
- La misma versión en DASDEC-II si la clave SSH por defecto no ha sido sustituida.
Recomendación
- Monroe Electronics ha liberado una actualización de su software, la versión 2.0-2 la cual solucionaría esta vulnerabilidad.
- Usuarios de DASDEC podrán obtener la actualización DASDEC v2.0-2 contactando con support@digitalalertsystems.com.
Detalle
El firmware (disponible de manera pública) para los dispositivos DASDEC-I y DASDEC-II, utilizados para el envío broadcast de mensajes EAS sobre canales digitales y analógicos, incluían la clave SSH de root que permitiría el acceso remoto al mismo.
Efectos de la vulnerabilbilidad :
- Un atacante que explote dicha vulnerabilidad podría ganar acceso root al dispositivo afectando de esta forma a la confidencialidad, disponibilidad e integridad del mismo.
Más información
Monroe Electronics DASDEC Compromised Root SSH Key
Fuente: INTECO