Empresa americana ignora solicitação da CISA para corrigir falhas exploráveis remotamente
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou esta semana alertas detalhando duas vulnerabilidades não corrigidas nos produtos Enphase. Na terça-feira, a CISA publicou dois alertas do ICS para alertar sobre vulnerabilidades nos produtos Enphase que podem levar a vazamentos de informações ou execução de comandos. Ambos são considerados remotamente exploráveis com baixa complexidade de ataque.
A CISA adverte que o Enphase Installer Toolkit para Android versões 3.27.0 e anteriores contém credenciais codificadas que um invasor pode usar para obter acesso a dados confidenciais. O Enphase Installer Toolkit está atualmente disponível para download como versão 3.30.0 para Android e iOS. De acordo com a CISA, a Enphase Energy não respondeu aos pedidos para trabalhar com a agência no tratamento dessas vulnerabilidades. Ambos os problemas foram relatados por um pesquisador de segurança usando apenas o identificador ‘OBSWCY3F’.
Publicado em: Cybersegurança