Múltiples vulnerabilidades en productos Advantech

Un investigador ha publicado 4 (cuatro) vulnerabilidades de productos de Advantech, una compañía en el campo de sistemas inteligentes e IoT (Internet of Things). Estas podrían permitir escalamiento de privilegios en sus distintos productos.

Las vulnerabilidades reportadas son CVE-2021-40388 de severidad “Alta”, CVE-2021-40389 de severidad “Alta”CVE-2021-40396 de severidad “Alta” CVE-2021-40397 de severidad “Alta”. Las mismas se detallan a continuación:

  • CVE-2021-40388 de severidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a que de manera predeterminada la ruta de instalación del aplicativo Advantech SQ Manager Server permite al grupo “Everyone” acceder con el permiso “Full”. Un atacante podría beneficiarse de la vulnerabilidad pudiendo realizar un escalamiento de privilegios en el sistema afectado.
  • CVE-2021-40389 de severidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a que de manera predeterminada la ruta de instalación del aplicativo Advantech DeviceOn/iEdge Server permite al grupo “Everyone” acceder con el permiso “Full”. Un atacante podría beneficiarse de la vulnerabilidad pudiendo realizar un escalamiento de privilegios en el sistema afectado.
  • CVE-2021-40396 de severidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a que de manera predeterminada la ruta de instalación del aplicativo Advantech DeviceOn/iService permite al grupo “Everyone” acceder con el permiso “Full”. Un atacante podría beneficiarse de la vulnerabilidad pudiendo realizar un escalamiento de privilegios en el sistema afectado.
  • CVE-2021-40397 de severidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a que de manera predeterminada la ruta de instalación del aplicativo Advantech WISE-PaaS/OTA Server permite al grupo “Everyone” acceder con el permiso “Full”. Un atacante podría beneficiarse de la vulnerabilidad pudiendo realizar un escalamiento de privilegios en el sistema afectado.

Los productos afectados por estas vulnerabilidades son:

  • Advantech SQ Manager Server en su versión 1.0.6
  • Advantech DeviceOn/iEdge Server en su versión 1.0.2
  • Advantech DeviceOn/iService en su versión 1.1.7
  • Advantech WISE-PaaS/OTA Server en su versión 3.0.9

Si bien aún Advantech no ha indicado que existan actualizaciones de seguridad, recomendamos cambiar manualmente los permisos de “Everyone”, asignando sólo el permiso «Full» de forma individual a los usuarios que así lo requieran, de las carpetas de instalación de los diferentes productos y aguardar a que se publique una nueva actualización de seguridad para mitigarlas definitivamente, para más información recomendamos contactar con el servicio de soporte de Advantech a través del siguiente enlace.

Referencias:

Compartir: