Se
han reportado dos vulnerabilidades en NEC Aterm WF800HP y Aterm WG300HP que
podrían permitir a un atacante remoto realizar ataques cross-site request
forgery (CSRF).
NEC Aterm es una familia de
productos para redes inalámbricas de telecomunicaciones, RDSI, comunicaciones
móviles, PLC etc. Son dispositivos desarrollados tanto para entornos
empresariales e industriales como para uso doméstico.
Como ya hemos comentado en
reportes anteriores, CSRF es una técnica que permite realizar peticiones HTTP a
usuarios no autorizados aprovechando la incorrecta (o falta de) validación de
dichas peticiones. Para explotar estas vulnerabilidades, el atacante debe
engañar a la víctima que ha iniciado sesión en el dispositivo para que visite
una página web especialmente manipulada desde la que se realizará la petición
HTTP no autorizada y sin conocimiento del usuario legítimo.
Se han asignado los CVE-2016-1167
y CVE-2016-1168 a estas dos vulnerabilidades, reportadas por Satoshi Ogawa y Toshitsugu Yoneyama de
Mitsui Bussan Secure Directions, Inc.
Este problema afecta a los
dispositivos NEC Aterm
WG300HP y a versiones anteriores de WF800HP
con firmware 1.0.17 e inclusive, se recomienda actualizar a versiones
superiores.
Para los dispositivos NEC Aterm
WG300HP se recomienda no visitar otras webs tras haberse conectado/registrado
en la ventana de administración y gestión del dispositivo.
Más información:
JVNDB-2016-000036 Aterm WG300HP vulnerable to
cross-site request forgery
JVNDB-2016-000035 Aterm WF800HP vulnerable to
cross-site request forgery
NEC
Juan Sánchez
No hay comentarios:
Publicar un comentario