Divulgación de información en Metasys y BCPro de Johnson Controls

Fecha de publicación:

01/08/2018

Importancia:

3 - Media

Recursos afectados:

Metasys System, Versión 8.0 y anteriores
BCPro (BCM), todas las versiones anteriores a la 3.0.2

Descripción:

El investigador Dan Regalado de Zingbox ha identificado una vulnerabilidad de tipo divulgación de información que afecta a productos de Johnson Controls. Un potencial atacante podría obtener información técnica.

Solución:

La vulnerabilidad en Metasys se corrigió en la versión v8.1, no obstante, se debe actualizar a la última versión del producto, versión 9.0. Los usuarios de BCPro Workstation deben actualizar a la versión v3.0 para remediar la vulnerabilidad y los de BACnet Router y Gateway deben actualizar a la versión 3.0.2.

Detalle:

Esta vulnerabilidad es producto de la inadecuada gestión de errores de las comunicaciones con el servidor basadas en HTTP, las cuales pueden permitir a un atacante obtener información técnica. Se ha asignado el identificador CVE-2018-10624 a esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-212-02)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Divulgación de información en Metasys y BCPro de Johnson Controls

Asignación incorrecta de permisos en CompactRIO de National Instruments

Consumo de recursos descontrolado en Touch Panel de las series BTP

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series