15 августа 2024

KLCERT-24-061: БЭГ НПП «ИТЭЛМА». Уязвимость раскрытия информации

Vendor

НПП «ИТЭЛМА»

Researchers

Alexander Kozlov, Kaspersky

Sergey Anufrienko, Vulnerability Research Group Manager, Kaspersky ICS CERT

Timeline

Timeline

  • Kaspersky ICS CERT advisory published

    15 августа 2024

Description

Уязвимость раскрытия информации в устройствах Telit Cinterion, используемых в блоках ЭРА-ГЛОНАСС, произведённых НПП «ИТЭЛМА», позволяет локальному злоумышленнику с низким уровнем привилегий получить информацию о скрытых виртуальных путях и именах файлов.


Exploitability

Требуется локальный доступ к устройству

Attack complexity

Низкая

User interaction

Нет

Confidentiality

Низкая

Integrity

Нет

Availability

Нет

Affected products

  • БЭГ ИТЭЛМА 1824.3879600
  • БЭГ ИТЭЛМА 8450020004
  • БЭГ ИТЭЛМА 8450031410
  • БЭГ ИТЭЛМА 8450008475
  • БЭГ ИТЭЛМА 8450033434
  • БЭГ ИТЭЛМА 8450103571
  • БЭГ ИТЭЛМА 8450103773
  • БЭГ ИТЭЛМА 8450042687
  • БЭГ ИТЭЛМА 111.3879000
  • БЭГ ИТЭЛМА 18.3879600-ХХ

Mitigation

Kaspersky ICS CERT mitigation

  • Необходимо обеспечить проверку подписи всех устанавливаемых мидлетов, чтобы запретить установку недоверенных мидлетов на устройство;
  • Необходимо контролировать физический доступ к устройству на всех этапах транспортировки для защиты от внедрения закладок.

Timeline

  • Kaspersky ICS CERT advisory published

    15 августа 2024