Múltiples vulnerabilidades en Sierra Wireless ALEOS

Fecha de publicación 29/11/2023

Importancia

4 - Alta

Recursos Afectados

Todos los dispositivos router AirLink que ejecuten versiones del software ALEOS anteriores a:

4.9.9 (ES450, GX450);
4.17.0.12 (MP70, RV50x, RV55, LX40, LX60).

Descripción

Stanislav Dashevskyi, investigador de ForeScout, ha reportado 8 vulnerabilidades de severidad alta en ALEOS, el sistema operativo de ciertos routers AirLink de Sierra Wireless.

Solución

Actualizar ALEOS a las versiones:

4.17.0.12 (MP70, RV50x, RV55, LX40, LX60);
4.9.9 (ES450, GX450).

Detalle

Las vulnerabilidades detectadas se categorizan en los siguientes tipos (la vulnerabilidad CVE-2023-40465 podría emplearse para DoS, pero también para RCE):

denegación de servicio (CVE-2023-40458, CVE-2023-40459, CVE-2023-40462, CVE-2023-40465);
ejecución de script en el lado del cliente (CVE-2023-40460);
Cross-Site Scripting XSS (CVE-2023-40461);
credenciales accesibles para usuarios no autorizados (CVE-2023-40463);
Man in the middle (CVE-2023-40464);
ejecución remota de código (CVE-2023-40465).

Listado de referencias

Sierra Wireless ALEOS Advisory: SWI-PSA-2023-006

Sierra:21

ICSA-23-341-06 - Sierra Wireless AirLink with ALEOS firmware

Etiquetas