Sierra Wireless AirLink 设备被曝多个严重缺陷

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

周四，思科 Talos 研究和情报团队披露了 Sierra Wireless AirLink 设备中近十二个漏洞的详情，其中某些严重缺陷可导致攻击者修改系统设置、执行任意代码并修改密码。

这些安全漏洞影响多款 Sierra Wireless AirLink 网关和路由器，它们通常供企业连接工业设备、PoS 系统、摄像头、智能设备、传感器和多种类型的业务关键设备。

Talos 团队在运行固件版本 4.9.3 的 AireLink ES450 LTE 企业网关中发现了这些缺陷。然而，供应商证实称某些弱点还影响 GX400、GX450和 LS300 坚固的蜂窝网关；MP70 车辆路由器；RV50/RV50X 工业网关；和用于物联网和 M2M 应用程序的 LX40/60X 紧凑型路由器。

大多数漏洞存在于 ACEManager 中，即这些设备中存在的 web 服务器组件。

其中三个漏洞为“严重”漏洞，CVSS 评分为9.9分。攻击者可利用这些漏洞更改任何系统设置和执行任意命令和代码。认证攻击者可向目标发送构造的 HTTP 请求利用这些漏洞。

另外三个漏洞被评为“高危”级别，可导致认证用户更改用户密码并获取明文密码以及其它敏感信息。其中一个问题和 ACEManager web 服务器并不相关，影响 SNMPD 组件且可被用于激活设备上的硬编码凭证。

余下缺陷被评为“中危”级别，包括跨站点脚本漏洞、跨站请求伪造以及信息泄露问题。

研究人员表示已经和 Sierra Wireless 共同确保补丁已开发，但厂商尚未发布公开的安全通告，因此目前尚不清楚解决这些漏洞问题的固件更新是什么。

原文链接

https://www.securityweek.com/cisco-finds-serious-flaws-sierra-wireless-airlink-devices

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。