lunes, 4 de abril de 2016

Vulnerabilidades descubiertas en NEC Aterm WF800HP y Aterm WG300HP

Se han reportado dos vulnerabilidades en NEC Aterm WF800HP y Aterm WG300HP que podrían permitir a un atacante remoto realizar ataques cross-site request forgery (CSRF).

NEC Aterm es una familia de productos para redes inalámbricas de telecomunicaciones, RDSI, comunicaciones móviles, PLC etc. Son dispositivos desarrollados tanto para entornos empresariales e industriales como para uso doméstico.

Como ya hemos comentado en reportes anteriores, CSRF es una técnica que permite realizar peticiones HTTP a usuarios no autorizados aprovechando la incorrecta (o falta de) validación de dichas peticiones. Para explotar estas vulnerabilidades, el atacante debe engañar a la víctima que ha iniciado sesión en el dispositivo para que visite una página web especialmente manipulada desde la que se realizará la petición HTTP no autorizada y sin conocimiento del usuario legítimo.

Se han asignado los CVE-2016-1167 y CVE-2016-1168 a estas dos vulnerabilidades, reportadas por Satoshi Ogawa y Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc.

Este problema afecta a los dispositivos NEC Aterm WG300HP y a versiones anteriores de WF800HP con firmware 1.0.17 e inclusive, se recomienda actualizar a versiones superiores.

Para los dispositivos NEC Aterm WG300HP se recomienda no visitar otras webs tras haberse conectado/registrado en la ventana de administración y gestión del dispositivo.

Más información:

JVNDB-2016-000036 Aterm WG300HP vulnerable to cross-site request forgery

JVNDB-2016-000035 Aterm WF800HP vulnerable to cross-site request forgery

NEC



Juan Sánchez

No hay comentarios:

Publicar un comentario en la entrada