GarrettCom Magnum MNS-6K Management Software sérülékenység

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Magnum MNS-6K 4.x, 14.x

Összefoglaló

A GarrettCom Magnum MNS-6K Management Software egy sérülékenységét jelentették, amit kihasználva a támadók megváltoztathatják az eszköz beállításait, illetve  szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

A GarrettCom Magnum MNS-6K Management Software egy nem dokumentált, fixen beállított jelszót tartalmaz, amelyet megszerezve, a rendszerhez hozzáférő  támadónak lehetősége adminisztratív vagy teljes hozzáférést szerezni. Bár a támadás végrehajtásához szükség van egy felhasználói hozzáférésre, a  sérülékenység megkönnyíti fizikai védelem kijátszását, amelynek következtében teljes adminisztratív hozzáférést lehet szerezni a rendszerhez.

A sérülékenységet távolról ki lehet használni, de ehhez szükséges egy felhasználói hozzáférés.

A sérülékenységet az alábbi verziókban jelentették:

• Magnum MNS-6K 4.1.14 és korábbi verziók
• Magnum MNS-6K 14.1.14 SECURE és korábbi verziók

Megoldás

A gyártó kiadott egy javítást a sérülékenységre. A gyártói bejelentést és a javítást az alábbi hivatkozásokon lehet letölteni:

http://www.garrettcom.com/techsupport/6k_dl/6k440_rn.pdf
http://www.garrettcom.com/techsupport/sw_downloads_6k.htm

További javaslatok a kockázatok csökkentésére:

• Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
• A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
• Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.garrettcom.com
Egyéb referencia: www.us-cert.gov
CVE-2012-3014 - NVD CVE-2012-3014
SECUNIA 50418