Se han reportado dos
vulnerabilidades en dispositivos JanTek JTC-200, un convertidor TCP/IP a
RS-232/485/422, half/full duplex. Las vulnerabilidades están consideradas de
gravedad alta y podrían permitir a un atacante remoto ejecutar código
arbitrario en el dispositivo.
El dispositivo
JTC-200 es un convertidor TCP/IP a RS-232/485/422, half/full duplex, que presenta
soporte para TCP, IP, UDP server/cliente y ademas cuenta con una interfaz web
de gestión. Es un dispositivo ampliamente utilizado en el sector industrial y
de telecomunicaciones.
En el primer
problema, con CVE-2016-5789, en el que debido a un error de validación, un
atacante remoto con los mismos permisos que la víctima, podría inducir a la
víctima con sesión activa la ejecución de peticiones maliciosas (CSRF).
Como hemos comentado
en otras ocasiones, CSRF es una técnica que permitiría realizar peticiones HTTP
sin una correcta validación. Por ejemplo, imaginemos que un usuario se
encuentra validado en una página que necesita autenticación. Desde el
navegador, visita otra web que esconde una petición HTTP hacia esa página que
necesita validación. Esa petición HTTP, en forma de enlace, se carga por la
víctima sin saberlo y realiza una acción sobre la página en la que se encuentra
autenticada. Esto sería un fallo de CSRF por parte de la página que necesita
autenticación, puesto que no valida correctamente que las peticiones provengan
de su propio dominio. Para impedir esto, las páginas suelen introducir un
sistema de control que impide que una petición desde otra web sea válida.
En el segundo
problema, con CVE-2016-5791, en el que un atacante remoto podría valerse de un
error de autenticacion para ejecutar código arbitrario a través de una shell de
Busybox Linux accesible desde Telnet.
Las dos
vulnerabilidades han sido reportadas por Karn Ganeshan y afectan a todas las
versiones de JanTek JTC-200.
En la página web del
fabricante este producto figura como discontinuado, de hecho para finales de
este año se espera el lanzamiento del nuevo modelo JTC-300, desconocemos si por
ahora se van a tomar medidas para paliar estas fallas de seguridad.
Recomendación
Reducir la exposición
a la red de los dispositivos, asegurándose de que no sean accesibles a través
de Internet.
Usar cortafuegos, y
aislar la red local de posibles accesos no autorizados.
Cuando se requiera el
acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:
- JanTek JTC-200 http://www.jantek.com.tw/en/product/73
- Advisory (ICSA-17-283-02) https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02
Fuente: Hispasec
