VDB
CVE-2020-27632
CVE-2020-27632
PUBLISHED
In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen "NUMBER:JACK" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
EPSS 0.38% · 59.7th percentile
Risk Scores
EPSS Score
0.38%
59.7th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Siemens | Siemens Nucleus RTOS | |
| Open Source | Open Source TCP/IP Stack |
Timeline
- Feb 11, 2021 CVE Published
- Apr 14, 2021 EPSS Score
- Jun 23, 2021 EPSS Score
- Aug 24, 2021 EPSS Score
- Oct 26, 2021 EPSS Score
- Jan 6, 2022 EPSS Score
- Feb 4, 2022 EPSS Score
- Feb 28, 2022 EPSS Score
- Apr 1, 2022 EPSS Score
- May 1, 2022 EPSS Score
- Jul 3, 2022 EPSS Score
- Sep 4, 2022 EPSS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2021/wid-sec-w-2023-1987.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1987 advisory
- https://cert-portal.siemens.com/productcert/html/ssa-180579.html advisory
- https://us-cert.cisa.gov/ics/advisories/icsa-21-042-01 advisory
- https://cert-portal.siemens.com/productcert/pdf/ssa-362164.pdf advisory