KLCERT-24-062: БЭГ НПП «ИТЭЛМА». Уязвимость обхода относительного пути

Главная
Уязвимости
KLCERT-24-062: БЭГ НПП «ИТЭЛМА». Уязвимость обхода относительного пути

15 августа 2024

Vendor

НПП «ИТЭЛМА»

CVE

2023-47613
KLCERT

KLCERT-24-062

Researchers

Alexander Kozlov, Kaspersky

Sergey Anufrienko, Vulnerability Research Group Manager, Kaspersky ICS CERT

Timeline

Kaspersky ICS CERT advisory published

15 августа 2024

Description

Уязвимость обхода относительного пути в устройствах Telit Cinterion, используемых в блоках ЭРА-ГЛОНАСС, произведённых НПП «ИТЭЛМА», позволяет локальному злоумышленнику с низким уровнем привилегий выйти из виртуального каталога и получить доступ на чтение/запись к защищенным файлам в целевой системе.

CWE

CWE-23: Relative Path Traversal

CVSS v3

0.0

(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)

Exploitability

Требуется локальный доступ к устройству

Attack complexity

Низкая

User interaction

Нет

Confidentiality

Низкая

Integrity

Низкая

Availability

Нет

Mitigation

Kaspersky ICS CERT mitigation

Необходимо обеспечить проверку подписи всех устанавливаемых мидлетов, чтобы запретить установку недоверенных мидлетов на устройство;
Необходимо контролировать физический доступ к устройству на всех этапах транспортировки для защиты от внедрения закладок.

Вернуться к началу

Timeline

Kaspersky ICS CERT advisory published

15 августа 2024

Вернуться к началу