CVE-2019-13022

**Nome do software vulnerável e versões afetadas:

Bond JetSelect (todas as versões)

Descrição:

O problema reside na classe Java (ENCtool.jar) e no algoritmo de geração de senha correspondente, utilizado para definir senhas iniciais durante a primeira instalação do Bond JetSelect. Esse algoritmo utiliza uma operação XOR para combinar o texto simples com a senha “criptografada”, que é então armazenada no banco de dados. No entanto, esse processo pode ser facilmente revertido, permitindo a escalada de privilégios dentro do aplicativo JetSelect por meio da obtenção das senhas dos administradores do JetSelect. Esses administradores têm a capacidade de modificar, excluir e alterar configurações de rede em embarcações e dispositivos de rede gerenciados, incluindo switches e roteadores.

Recomendações:

Para o Bond JetSelect (todas as versões), considere desativar a classe Java afetada (ENCtool.jar) ou restringir o acesso ao algoritmo de geração de senhas até que uma correção adequada seja implementada. Além disso, restrinja os privilégios dos administradores do JetSelect para minimizar danos potenciais decorrentes da exploração. Como solução alternativa temporária, altere manualmente as senhas iniciais definidas pelo algoritmo vulnerável para senhas mais fortes e exclusivas, a fim de reduzir o risco de escalonamento de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.