Deux vulnérabilités ont été corrigées sur plusieurs séries FL SWITCH de PHOENIX CONTACT

Deux vulnérabilités, une de criticité élevée et l'autre de criticité moyenne, ont été corrigées sur les séries de switch FL SWITCH 3xxx, 4xxx et 48xxx, de PHOENIX CONTACT exécutant les versions 1.0 à 1.32 du micrologiciel. L'exploitation de ces vulnérabilités peut permettre à un attaquant distant non authentifié d'obtenir des privilèges administratifs et d'exposer des informations à des utilisateurs non authentifiés.

Deux CVE ont été attribuées pour ces vulnérabilités :

  • CVE-2017-16743 [CVSS 8.9] pour une faille permettant à un attaquant distant non authentifié de créer des requêtes HTTP spéciales permettant de contourner l'authentification au service web, et d'obtenir des privilèges administratifs sur le périphérique.
  • CVE-2017-16741 [CVSS 5.3] pour une faille qui permet à un attaquant distant non authentifié d'utiliser le mode Monitor sur le périphérique affecté pour lire les informations de diagnostic.

L'éditeur n'a pas encore publié plus de détails techniques relatifs aux deux vulnérabilités. 

Informations
+

Impact

  • Élévation de privilèges
  • Atteinte à la confidentialité des informations.

Criticité

  • CVSS v3 : 9.8 (La plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Tous les produits de la série FL SWITCH 3xxx, 4xxx et 48xxx exécutant les versions 1.0 à 1.32 du micrologiciel sont affectés.

CVE

  • CVE-2017-16743
  • CVE-2017-16741

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par PHOENIX CONTACT corrigeant la vulnérabilité.
  • PHOENIX CONTACT recommande aux utilisateurs concernés de passer à la version 1.33 ou supérieure du micrologiciel. 
  • Les liens de téléchargement des mises à jour publiées sont disponibles sur l'avis de CERT-US traitant ces vulnérabilités.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.