CVE-2022-30269

RTUs Motorola ACE1000 até 02/05/2022

O problema está relacionado ao tratamento inadequado da integridade das aplicações nas RTUs Motorola ACE1000. Esses dispositivos permitem a instalação de aplicações personalizadas por meio do software STS, do kit de ferramentas C ou do ACE1000 Easy Configurator. As imagens de aplicativos são carregadas por meio da interface de usuário da Web no caso do Easy Configurator, ou transferidas e instaladas usando SFTP/SSH no caso do kit de ferramentas C. As imagens de aplicativos carecem de autenticação, como assinatura de firmware, e dependem apenas de checksums inseguros para verificações de integridade. Isso pode ser explorado por um invasor remoto para executar código arbitrário.

Para RTUs Motorola ACE1000 até 02/05/2022, considere desativar o recurso de instalação de aplicativos personalizados por meio do software STS, do kit de ferramentas C ou do ACE1000 Easy Configurator até que um patch esteja disponível. Restrinja o acesso à interface de usuário da Web e ao SFTP/SSH para minimizar o risco de exploração. Evite usar checksums inseguros para verificações de integridade e implemente um mecanismo de autenticação seguro, como assinatura de firmware, para garantir a integridade das imagens de aplicativos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.