Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Facility Explorer de Johnson Controls

Múltiples vulnerabilidades en Facility Explorer de Johnson Controls

Fecha de publicación: 
23/01/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Facility Explorer versiones 14.X anteriores a la versión 14.4u1
  • Facility Explorer versiones 6.X anteriores a la 6.6
Descripción: 

Tridium identificó múltiples vulnerabilidades que afectan a los productos de automatización Facility Explorer de Johnson Controls. Un atacante podría acceder al sistema aprovechando una gestión incorrecta de las contraseñas y obtener acceso a los ficheros para su lectura, modificación, eliminación e incluso obtener permisos de administrador.

Solución: 

Johnson Controls ha mitigado estas vulnerabilidades en versiones posteriores del producto. Los usuarios deben actualizar sus versiones a una segura, se recomienda la versión (FX14.6).

  • Facility Explorer 14.6 (Fecha de lanzamiento septiembre 2018).
  • Facility Explorer 14.4u1 (Fecha de lanzamiento agosto 2018).
  • Facility Explorer 6.6 (Fecha de lanzamiento agosto 2018).
     
Detalle: 
  • Un atacante con acceso al sistema Facility Explorer y permisos de administrador, podría realizar una vulnerabilidad del tipo de salto de directorio (‘path traversal’), para acceder a ficheros sin permisos o directorios restringidos. Se ha asignado el identificador CVE-2017-16744 para esta vulnerabilidad.
  • Un fallo en las cuentas de usuario deshabilitadas con el campo contraseña en blanco, podría permitir a un atacante acceder al sistema con permisos de administrador. Se ha asignado el identificador CVE-2017-16748 para esta vulnerabilidad.

Encuesta valoración