Los expertos en ciberseguridad alertan sobre una vulnerabilidad sin parches en los sistemas de control de acceso Nice Linear eMerge E3, la cual podría permitir la ejecución de comandos arbitrarios en el sistema operativo.

La vulnerabilidad, identificada como CVE-2024-9441, tiene una puntuación CVSS de 9.8 sobre un máximo de 10.0, según VulnCheck.

“Una falla en el Nortek Linear eMerge E3 permite que atacantes remotos no autenticados ejecuten comandos arbitrarios en el dispositivo”, indicó SSD Disclosure en un aviso sobre la vulnerabilidad publicado a finales del mes pasado, señalando que el proveedor aún no ha ofrecido una solución.

La vulnerabilidad afecta a las siguientes versiones de Nortek Linear eMerge E3 Access Control: 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 y 1.00.07.

Se han publicado pruebas de concepto (PoC) para explotar la vulnerabilidad después de su divulgación, lo que genera preocupación sobre la posibilidad de que actores maliciosos la aprovechen.

Es importante recordar que otra vulnerabilidad crítica que afectó a E3, CVE-2019-7256 (con un puntaje CVSS de 10.0), fue utilizada por un grupo de amenazas conocido como Flax Typhoon para reclutar dispositivos vulnerables en la ahora desmantelada botnet Raptor Train.

Aunque se detectó en mayo de 2019, la empresa no abordó la deficiencia hasta principios de marzo.

“Sin embargo, dada la lenta reacción del proveedor ante el CVE-2019-7256, no anticipamos un parche para el CVE-2024-9441 en el corto plazo”, comentó Jacob Baines de VulnCheck. “Las organizaciones que utilizan la serie Linear eMerge E3 deben actuar con rapidez para desconectar o aislar estos dispositivos”.

En una declaración compartida con SSD Disclosure, Nice aconseja a sus clientes seguir las mejores prácticas de seguridad, que incluyen implementar segmentación de red, restringir el acceso al producto desde Internet y protegerlo detrás de un firewall.

Fuente: thehackernews.com