Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Fecha de publicación:

04/12/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Midas, versión 1.13b1 y anteriores.
Midas Black, versión 2.13b1 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha descubierto varias vulnerabilidades que afectan al detector de gas Midas de la empresa Honeywell.

Solución:

Honeywell ha publicado nuevas versiones de firmware para sus detectores de gas Midas y Midas Black que solucionan estas vulnerabilidades.

Detalle:

Estas vulnerabilidades podría proporcionar a un potencial atacante un acceso no autenticado al dispositivo,modificar la configuración o iniciar los procedimientos de calibración o test.

Estas vulnerabilidades pueden ser aprovechadas de forma remota.

Salto de directorio: La interfaz del servidor Web permite la evasión de la autenticación permitiendo potenciales cambios en la configuración del dispositivo así como el inicio de los procesos de calibración o test. Se ha reservado el identificador CVE-2015-7907 para esta vulnerabilidad.
Transmisión en claro de información sensible: la contraseña del usuario no se cifra durante la transmisión. Se ha reservado el identificador CVE-2015-7908 para esta vulnerabilidad.

Referencias:

Honeywell Midas Gas Detector Vulnerabilities

High Tech & Gov. Systems

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Múltiples vulnerabilidades en productos de Hitachi Energy

Acceso no autorizado en Entrapass de Johnson Controls

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa