BiznetBiznet

Digi ConnectPort LTS 32 MEI Çoklu Güvenlik Açıkları

Yazar: Murat Aydemir


CVE: CVE-2020-6973
CVSS v3: 2.4 (AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:L)
Risk Seviyesi: Orta
Ürün: Digi ConnectPort LTS 32 MEI Terminal Sunucu
Etkilenen Sürümler: ConnectPort LTS 32 MEI: firmware Version 1.4.3 (82002228_K 08/09/2018), bios Version 1.2
Yama Tarihi: 8 Kasım 2019
Raporlayan: Murat Aydemir
Problem Detayları: Digi ConnectPort LTS 32 MEI terminal sunucuları kritik altyapılarda endüstriyel protokollerin diğer farklı protokollere dönüştürülmesinde kullanılmaktadır. Terminal sunucu üzerinde bulunan web uygulamansının dinamik olarak ürettiği sayfalar içerisinde bulunan input alanları Cross Site Scripting zafiyetinden etkilenmektedir. Zafiyetin sömürülmesi halinde oturum cookieleri çalınabilir, hedef sunucu üzerinde yetkisiz olarak javascript kodları yorumlatılabilir.
Çözüm/Öneri: Üretici (Digi) ilgili zafiyeti giderek yeni bir sürüm (ConnectPort LTS Firmware Version 1.4.5) yayımlamıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir. Gerekli yama ve zafiyet hakkında detaylar için aşağıdaki bağlantılar kullanılabilir.
http://ftp1.digi.com/support/firmware/93000660_M1.pdfhttp://ftp1.digi.com/support/firmware/93000660_M.txt
Referanslar:
https://www.us-cert.gov/ics/advisories/icsa-20-042-13
https://nvd.nist.gov/vuln/detail/CVE-2020-6973

murat.aydemir
Yazar: murat.aydemir