Istraživači cyber sigurnosti upozoravaju na nezakrpljenu ranjivost u sistemima kontrole pristupa Nice Linear eMerge E3 koja bi mogla omogućiti izvršavanje proizvoljnih naredbi operativnog sistema (OS).
Greška, kojoj je dodijeljen CVE identifikator CVE-2024-9441 , nosi CVSS rezultat od 9,8 od maksimalnih 10,0, prema VulnCheck-u .
“Ranjivost u Nortek Linear eMerge E3 omogućava udaljenim napadačima bez autentifikacije da prouzrokuju da uređaj izvrši proizvoljnu komandu,” navodi SSD Disclosure u upozorenju o propustu objavljenom krajem prošlog mjeseca, navodeći da dobavljač tek treba dati ispravak ili rješenje.
Greška utiče na sledeće verzije Nortek Linear eMerge E3 kontrole pristupa: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-38e, 0.02f 1.00.05 i 1.00.07.
Proof-of-concept (PoC) eksploatacije za propust su objavljeni nakon javnog objelodanjivanja, što je izazvalo zabrinutost da bi ga mogli iskoristiti akteri prijetnji.
Vrijedi napomenuti da je još jednu kritičnu grešku koja utječe na E3, CVE-2019-7256 (CVSS rezultat: 10,0), iskoristio akter prijetnje poznat kao Flax Typhoon da regrutuje osjetljive uređaje u sada demontirani Raptor Train botnet.
Iako je prvobitno otkriven u maju 2019. godine, kompanija se nije pozabavila tim nedostatkom sve do ranije ovog marta .
“Ali s obzirom na spor odgovor proizvođača na prethodni CVE-2019-7256, ne očekujemo uskoro zakrpu za CVE-2024-9441”, rekao je Jacob Baines iz VulnChecka. “Organizacije koje koriste seriju Linear Emerge E3 trebale bi brzo djelovati kako bi ove uređaje isključile ili izolovale.”
U izjavi koju je podijelio sa SSD Disclosure, Nice preporučuje kupcima da slijede najbolje sigurnosne prakse, uključujući provođenje segmentacije mreže, ograničavanje pristupa proizvodu s interneta i postavljanje iza mrežnog zaštitnog zida.
Izvor:The Hacker News