La vulnerabilidad que ha sido identificada con el CVE-2019-6160, residía en el firmware de los productos de almacenamiento de Lenovo-EMC, también conocida como Iomega, la cual podría permitir a un usuario no autenticado acceder a archivos en recursos compartidos del NAS a través de la API, permitiendo la descarga de los mismos.
La filtración, según el informe de Vertical Structure, expone que se han filtrado aproximadamente 13 mil archivos de hoja de cálculo, con un peso estimado de 36 TB. En ellos se encontraba fundamentalmente información financiera con números de tarjetas.
Lenovo ha confirmado la vulnerabilidad a través de un comunicado, reconociendola, a continuación se detalla los dispositivos identificados ordenados por su código CPE.
cpe:2.3:o:lenovo:px12-350r_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:px12-350r:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:ix12-300r_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:ix12-300r:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:home_media_network_hard_drive_firmware:*:*:*:*:cloud:*:*:*
cpe:2.3:h:lenovo:home_media_network_hard_drive:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storcenter_ix2-200_firmware:*:*:*:*:cloud:*:*:*
cpe:2.3:h:lenovo:storcenter_ix2-200:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storcenter_ix4-200d_firmware:*:*:*:*:cloud:*:*:*
cpe:2.3:h:lenovo:storcenter_ix4-200d:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storcenter_ix2-200_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:storcenter_ix-200:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storcenter_ix4-200d_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:storcenter_ix4-200d:-:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storcenter_ix4-200rl_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:storcenter_ix4-200rl:-:*:*:*:*:*:*:*
Este no es el primer escándalo que sacude a la multinacional de tecnología china, que acumula en su haber escándalos como la inclusión por defecto de malware en sus portátiles.
Pese a estar la vulnerabilidad corregida, esta se encuentra en versiones del firmware que deberá de ser actualizado por los usuarios de los dispositivos, por lo que se recomienda llevar a cabo la actualización de los mismos lo antes posible.
Referencias:
Reporte oficial de Lenovo: https://support.lenovo.com/es/es/product_security/len-25557
Investigación de Vertical Structure: https://verticalstructure.com/best-practices-in-identifying-and-remediating-vulnerabilities
Deja una respuesta