Pesquisadores de segurança cibernética estão alertando sobre uma vulnerabilidade não corrigida nos sistemas controladores de acesso Good Linear eMerge E3 que podem permitir a execução de comandos arbitrários do sistema operacional (SO).
A falha, atribuída ao identificador CVE CVE-2024-9441, carrega uma pontuação CVSS de 9,8 de um máximo de 10,0, de acordo com o VulnCheck.
“Uma vulnerabilidade no Nortek Linear eMerge E3 permite que invasores remotos não autenticados façam com que o dispositivo execute comandos arbitrários”, disse SSD Disclosure em um comunicado sobre a falha divulgado no closing do mês passado, afirmando que o fornecedor ainda não forneceu uma correção ou solução alternativa.
A falha afeta as seguintes versões do Nortek Linear eMerge E3 Entry Management: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 e 1.00.07.
Explorações de prova de conceito (PoC) para a falha foram divulgadas após divulgação pública, levantando preocupações de que ela poderia ser explorada por agentes de ameaças.
É importante notar que outra falha crítica que afeta o E3, CVE-2019-7256 (pontuação CVSS: 10,0), foi explorada por um agente de ameaça conhecido como Flax Storm para recrutar dispositivos suscetíveis para o agora desmantelado botnet Raptor Prepare.
Embora divulgada originalmente em maio de 2019, a deficiência não foi resolvida pela empresa até o início de março.
“Mas dada a resposta lenta do fornecedor ao CVE-2019-7256 anterior, não esperamos um patch para o CVE-2024-9441 tão cedo”, disse Jacob Baines da VulnCheck. “As organizações que usam a série Linear Emerge E3 devem agir rapidamente para colocar esses dispositivos off-line ou isolá-los.”
Em uma declaração compartilhada com a SSD Disclosure, a Good recomenda aos clientes que sigam as práticas recomendadas de segurança, incluindo impor a segmentação da rede, restringir o acesso ao produto pela Web e colocá-lo atrás de um firewall de rede.