Los investigadores de seguridad cibernética advierten sobre una vulnerabilidad sin parches en los sistemas de controlador de acceso Nice Linear eMerge E3 que podría permitir la ejecución de comandos arbitrarios del sistema operativo (SO).
La falla, a la que se le ha asignado el identificador CVE CVE-2024-9441, tiene una puntuación CVSS de 9,8 de un máximo de 10,0, según VulnCheck.
“Una vulnerabilidad en Nortek Linear eMerge E3 permite a atacantes remotos no autenticados hacer que el dispositivo ejecute comandos arbitrarios”, dijo SSD Disclosure en un aviso sobre la falla publicado a fines del mes pasado, afirmando que el proveedor aún no ha proporcionado una solución o solución alternativa.
La falla afecta a las siguientes versiones del control de acceso Nortek Linear eMerge E3: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 01.00.05 y 1.00.07.
Tras la divulgación pública se publicaron exploits de prueba de concepto (PoC) para la falla, lo que generó preocupaciones de que pudiera ser explotada por actores de amenazas.
Vale la pena señalar que otra falla crítica que afectó al E3, CVE-2019-7256 (puntuación CVSS: 10.0), fue explotada por un actor de amenazas conocido como Flax Typhoon para reclutar dispositivos susceptibles en la botnet Raptor Train, ahora desmantelada.
Aunque se reveló originalmente en mayo de 2019, la compañía no abordó la deficiencia hasta principios de marzo.
“Pero dada la lenta respuesta del proveedor al CVE-2019-7256 anterior, no esperamos un parche para CVE-2024-9441 en el corto plazo”, dijo Jacob Baines de VulnCheck. “Las organizaciones que utilizan la serie Linear Emerge E3 deben actuar rápidamente para desconectar estos dispositivos o aislarlos”.
En una declaración compartida con SSD Disclosure, Nice recomienda a los clientes seguir las mejores prácticas de seguridad, incluida la aplicación de la segmentación de la red, restringir el acceso al producto desde Internet y colocarlo detrás de un firewall de red.