PT-2020-6162 · Andy · Andyos Andy
Maciej Miszczyk
·
Publicado
2020-04-14
·
Atualizado
2020-08-24
·
CVE-2019-14326
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do AndyOS Andy até a 46.11.113
Descrição
Uma falha no AndyOS Andy permite que invasores remotos obtenham acesso total ao dispositivo ou que aplicativos maliciosos realizem escalonamento de privilégios até o nível de root. Isso ocorre porque os serviços telnet e ssh são iniciados com privilégios de root por padrão no sistema Android emulado, sem que seja necessária autenticação para acessar um shell de root.
Recomendações
Para as versões do AndyOS Andy até 46.11.113, considere desativar os serviços telnet e ssh para impedir a exploração até que uma correção esteja disponível. Restrinja o acesso ao sistema Android emulado para minimizar o risco de escalonamento de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Andyos Andy