Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Fecha de publicación:

04/12/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Midas, versión 1.13b1 y anteriores.
Midas Black, versión 2.13b1 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha descubierto varias vulnerabilidades que afectan al detector de gas Midas de la empresa Honeywell.

Solución:

Honeywell ha publicado nuevas versiones de firmware para sus detectores de gas Midas y Midas Black que solucionan estas vulnerabilidades.

Detalle:

Estas vulnerabilidades podría proporcionar a un potencial atacante un acceso no autenticado al dispositivo,modificar la configuración o iniciar los procedimientos de calibración o test.

Estas vulnerabilidades pueden ser aprovechadas de forma remota.

Salto de directorio: La interfaz del servidor Web permite la evasión de la autenticación permitiendo potenciales cambios en la configuración del dispositivo así como el inicio de los procesos de calibración o test. Se ha reservado el identificador CVE-2015-7907 para esta vulnerabilidad.
Transmisión en claro de información sensible: la contraseña del usuario no se cifra durante la transmisión. Se ha reservado el identificador CVE-2015-7908 para esta vulnerabilidad.

Referencias:

Honeywell Midas Gas Detector Vulnerabilities

High Tech & Gov. Systems

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en productos de ABB

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Desbordamiento de búfer en múltiples productos de Hirschmann