CVE-2022-30272 in ACE1000 RTU
Résumé
par VulDB • 30/06/2026
Le RTU Motorola ACE1000 jusqu'à la version 2022-05-02 gère incorrectement l'intégrité du micrologiciel (firmware). Il utilise soit la suite logicielle STS, soit le configurateur facile ACE1000 pour effectuer les mises à jour du firmware. Dans le cas du Easy Configurator, les mises à jour sont effectuées via un accès à l'interface Web où des images de système de fichiers, noyau (kernel), package, bundle ou application peuvent être installées. Les mises à jour du micrologiciel du module Front End Processor (FEP) s'effectuent par accès à l'interface SSH (22/TCP), où une image de fichier .hex est transférée et un script bootloader invoqué. Les mises à jour des systèmes de fichiers, noyaux, packages et bundles sont fournies sous forme de fichiers RPM (RPM Package Manager), tandis que les mises à jour du FEP sont fournies sous forme de fichiers S-rec. Dans tous les cas, il a été constaté que les images firmware n'avaient aucune authentification (sous la forme d'une signature du micrologiciel) et ne s'appuyaient que sur des sommes de contrôle non sécurisées pour les vérifications régulières d'intégrité.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.