Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Fecha de publicación:

04/12/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Midas, versión 1.13b1 y anteriores.
Midas Black, versión 2.13b1 y anteriores.

Descripción:

El investigador independiente Maxim Rupp ha descubierto varias vulnerabilidades que afectan al detector de gas Midas de la empresa Honeywell.

Solución:

Honeywell ha publicado nuevas versiones de firmware para sus detectores de gas Midas y Midas Black que solucionan estas vulnerabilidades.

Detalle:

Estas vulnerabilidades podría proporcionar a un potencial atacante un acceso no autenticado al dispositivo,modificar la configuración o iniciar los procedimientos de calibración o test.

Estas vulnerabilidades pueden ser aprovechadas de forma remota.

Salto de directorio: La interfaz del servidor Web permite la evasión de la autenticación permitiendo potenciales cambios en la configuración del dispositivo así como el inicio de los procesos de calibración o test. Se ha reservado el identificador CVE-2015-7907 para esta vulnerabilidad.
Transmisión en claro de información sensible: la contraseña del usuario no se cifra durante la transmisión. Se ha reservado el identificador CVE-2015-7908 para esta vulnerabilidad.

Referencias:

Honeywell Midas Gas Detector Vulnerabilities

High Tech & Gov. Systems

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en el detector de gas Midas de Honeywell

Protección insuficiente de credenciales en eSOMS de Hitachi ABB Power Grids

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric