CVE-2022-30272 in ACE1000 RTUinformation

Résumé

par VulDB • 30/06/2026

Le RTU Motorola ACE1000 jusqu'à la version 2022-05-02 gère incorrectement l'intégrité du micrologiciel (firmware). Il utilise soit la suite logicielle STS, soit le configurateur facile ACE1000 pour effectuer les mises à jour du firmware. Dans le cas du Easy Configurator, les mises à jour sont effectuées via un accès à l'interface Web où des images de système de fichiers, noyau (kernel), package, bundle ou application peuvent être installées. Les mises à jour du micrologiciel du module Front End Processor (FEP) s'effectuent par accès à l'interface SSH (22/TCP), où une image de fichier .hex est transférée et un script bootloader invoqué. Les mises à jour des systèmes de fichiers, noyaux, packages et bundles sont fournies sous forme de fichiers RPM (RPM Package Manager), tandis que les mises à jour du FEP sont fournies sous forme de fichiers S-rec. Dans tous les cas, il a été constaté que les images firmware n'avaient aucune authentification (sous la forme d'une signature du micrologiciel) et ne s'appuyaient que sur des sommes de contrôle non sécurisées pour les vérifications régulières d'intégrité.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Réserver

04/05/2022

Divulgation

27/07/2022

Modérer

accepté

Entrée

VDB-205121

CPE

prêt

EPSS

0.00389

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!