PT-2020-13141 · Swarco · Swarco Cpu Ls4000 Series
Martin Aman
·
Publicado
2020-05-29
·
Atualizado
2021-11-04
·
CVE-2020-12493
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da série SWARCO CPU LS4000 a partir da G4
Descrição
O problema diz respeito a uma porta aberta usada para depuração na série SWARCO CPU LS4000, que concede acesso de root ao dispositivo sem controle de acesso via rede. Um usuário mal-intencionado poderia explorar essa vulnerabilidade para obter acesso ao dispositivo e interromper as operações com dispositivos conectados. Pesquisadores da empresa alemã ProtectEM descobriram essa vulnerabilidade, que poderia permitir que um invasor controlasse ou desativasse semáforos, por exemplo, acendendo a luz verde em todo um cruzamento simultaneamente. Embora não haja ponto de entrada pela Internet, o acesso físico a um dispositivo poderia proporcionar acesso à rede de semáforos de toda a cidade.
Recomendações
Para as versões da série SWARCO CPU LS4000 a partir da G4, considere desativar a porta de depuração como uma solução temporária até que um patch esteja disponível. Restrinja o acesso físico aos dispositivos para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Swarco Cpu Ls4000 Series