Faille critique dans HiOS
En date du 11/5, Hirschmann communique sur une faille critique notée 9.8/10 qui permet de changer le mot de passe d’un utilisateur existant sans authentification préalable. Cette faille ne semble pas être applicable pour les Dragons et les BRS.
Si vous utilisez les versions 7.1.01, 7.1.02, 8.1.00 à 8.5.xx ou HiSecOS en version 3.3 à 3.5, je vous invite *fortement* à mettre à jour vos switches, routeurs et pare-feux Hirschmann vers les versions 7.1.03 ou plus, 8.6.00 ou plus et HiSecOS 4.1.00 ou plus.
Remediation temporaire : désactiver le serveur HTTP & HTTPS des équipements en attendant la mise à jour ou utiliser la restriction d’adresses de management avec une ou quelques IP de confiance.