Chima Technologies do Brasil

Aviso de Segurança

ID do Alerta :CM241003
Data Inicial da Liberação:2024/4/22
Data Atualizada da Liberação:2024/4/22

Visão geral da vulnerabilidade

O SAX3000Z possui uma vulnerabilidade de sequestro de tráfego, cuja exploração bem-sucedida pode resultar no sequestro de pacotes por um atacante.
O número CVE dessa vulnerabilidade é: CVE-2021-46835

versão e correção

Produtos afetados Versões afetadas Versões corrigidas
SAX3000Z
V1.0.3

Impacto

A exploração bem-sucedida dessa vulnerabilidade pode resultar no sequestro de pacotes por um atacante.

Pontuação da vulnerabilidade

A vulnerabilidade é pontuada usando o sistema de pontuação CVSSv3.1. Para critérios de pontuação detalhados,
consulte: https://www.first.org/cvss/specification-document

Base Score: 6.3
Temporal Score: 5.9
Environmental Score: NA
CVSS v3.1 Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L/E:F/RL:O/RC:C

Detalhes técnicos

Condições prévias para o ataque:

O atacante pode acessar o dispositivo dentro da rede local (LAN).

Devido à implementação inadequada do tratamento de pacotes ICMP, o SAX3000Z apresenta uma vulnerabilidade de sequestro de tráfego. Um atacante que tenha acesso ao dispositivo na rede local pode explorar essa vulnerabilidade enviando pacotes ICMP maliciosos ao alvo, resultando no sequestro de pacotes.

Mitigação

Nenhuma

Aquisição de versão

Os dispositivos com a atualização automática ativada receberão solicitações de atualização de firmware.
Os dispositivos sem a atualização automática ativada precisarão obter manualmente as solicitações de atualização de firmware.
Deve-se executar a atualização de firmware para aplicar a correção da vulnerabilidade.

Fonte de vulnerabilidade

Essa vulnerabilidade foi descoberta por testadores internos da CHIMA.

Histórico de atualizações

2024-04-22 V1.0 Initial release;