Les chercheurs en cybersécurité mettent en garde contre une vulnérabilité non corrigée dans les systèmes de contrôleur d’accès Nice Linear eMerge E3 qui pourrait permettre l’exécution de commandes arbitraires du système d’exploitation (OS).
La faille, attribuée à l’identifiant CVE CVE-2024-9441présente un score CVSS de 9,8 sur un maximum de 10,0, selon VulnCheck.
« Une vulnérabilité dans Nortek Linear eMerge E3 permet à des attaquants distants non authentifiés d’amener l’appareil à exécuter une commande arbitraire », Divulgation SSD dit dans un avis concernant la faille publié à la fin du mois dernier, indiquant que le fournisseur n’a pas encore fourni de correctif ou de solution de contournement.
La faille affecte les versions suivantes de Nortek Linear eMerge E3 Access Control : 0.32-03i, 0.32-04m, 0.32-05p, 0.32-05z, 0.32-07p, 0.32-07e, 0.32-08e, 0.32-08f, 0.32-09c, 1.00.05 et 1.00.07.
Des exploits de preuve de concept (PoC) pour la faille ont été publiés suite à leur divulgation publique, ce qui fait craindre qu’elle puisse être exploitée par des acteurs malveillants.
Il convient de noter qu’une autre faille critique impactant l’E3, CVE-2019-7256 (score CVSS : 10,0), était exploité par un acteur menaçant connu sous le nom de Flax Typhoon pour recruter des appareils sensibles dans le botnet Raptor Train, désormais démantelé.
Bien que divulguée initialement en mai 2019, la lacune n’était pas adressé par l’entreprise jusqu’au début du mois de mars.
« Mais étant donné la lenteur de réponse du fournisseur au précédent CVE-2019-7256, nous ne nous attendons pas à un correctif pour le CVE-2024-9441 de si tôt », a déclaré Jacob Baines de VulnCheck. « Les organisations utilisant la série Linear Emerge E3 doivent agir rapidement pour mettre ces appareils hors ligne ou les isoler. »
Dans une déclaration partagée avec SSD Disclosure, Nice recommande aux clients de suivre les meilleures pratiques de sécurité, notamment en appliquant la segmentation du réseau, en restreignant l’accès au produit depuis Internet et en le plaçant derrière un pare-feu réseau.