Se
han reportado tres vulnerabilidades en SendQuick Entera & Avera SMS
Gateway, consideradas de gravedad alta. Estas podrían permitir a un atacante no
autenticado provocar condiciones de denegación de servicio, obtener información
sensible del sistema o incluso ejecutar código arbitrario en los sistemas
afectados.
SendQuick Entera & Avera SMS Gateway es un sistema activo de monitorización de redes que permite asegurar la operatividad y disponibilidad informando al personal asignado cuando se produzcan eventos de red de determinada criticidad y que requieran solución inmediata. Permite control remoto del servidor y manejo de servicios.
Detalle
de la vulnerabilidad
- En el primer
problema, con CVE-2017-5136, un atacante no autenticado podría provocar
una denegación de servicio (apagar el sistema) a través de peticiones
especialmente manipuladas. Este error es debido a una falta de
comprobación en el control de acceso de determinadas peticiones.
- Una segunda
vulnerabilidad, con CVE-2017-5137, en el que un atacante no autenticado
podría obtener información sensible dentro del sistema (podría obtener
información de cuentas a través de la descarga de determinados logs del
sistema) a través de peticiones especialmente manipuladas. No ha sido
especificado el error concreto que provoca esta vulnerabilidad, pero
podría deberse también a un error de falta de comprobación.
- Por último, con
CVE-2016-10098, un atacante no autenticado en el sistema podría ejecutar
código arbitrario con los privilegios del usuario a través de comandos
especialmente manipulados. Este error es debido a múltiples
vulnerabilidades relacionadas con inyecciones de comandos.
Recursos
afectados
- Afectan a
versiones anteriores al firmware 2HF16. Se recomienda actualizar a
versiones superiores.
Más
información:
- Multiple Vulns
in SendQuick Entera & Avera SMS Gateway Appliances https://niantech.io/blog/2017/02/05/vulns-multiple-vulns-in-sendquick-entera-avera-sms-gateway-appliances/
- sendQuick Avera http://www.sendquick.com.au/sqavera.html http://www.talariax.com/web/avera.html