Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en SAUTER Controls Nova

Múltiples vulnerabilidades en SAUTER Controls Nova

Fecha de publicación: 
13/01/2023
Identificador: 
INCIBE-2023-0014
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones de firmware 3.3-006, y anteriores con versiones de BACnetstac 4.2.1 y anteriores, para los siguientes productos:

  • Nova 220 (EYK220F001) DDC con conexión BACnet,
  • Nova 230 (EYK230F001) DDC con conexión BACnet,
  • Nova 106 (EYK300F001) tarjeta de comunicación BACnet,/li>
  • moduNet300 (EY-AM300F001, EY-AM300F002).
Descripción: 

Jairo Alonso Ortiz, Aarón Flecha Menéndez e Iñaki Lázaro Ayanz, investigadores de S21Sec, han notificado 2 vulnerabilidades en SAUTER Controls Nova, 1 de severidad crítica y 1 alta, cuya explotación podría permitir la visualización de información sensible no autorizada y la ejecución remota de código.

Solución: 

SAUTER Controls ha notificado que esta línea de productos ya no recibe soporte, debido a que se dejó de fabricar en 2016. Por lo que, recomienda a los usuarios que tomen todas las medidas necesarias para proteger la integridad del acceso a la red de automatización de edificios, utilizando todos los medios y políticas adecuados para minimizar los riesgos. También, aconseja que evalúen y actualicen los sistemas heredados a soluciones actuales cuando sea necesario.

Los usuarios afectados deben ponerse en contacto con SAUTER Controls para obtener instrucciones sobre la actualización de los sistemas heredados.

Detalle: 

La vulnerabilidad crítica podría permitir la ejecución de comandos sin necesidad de autenticación. Dado que Telnet y FTP son los únicos protocolos disponibles para la gestión de dispositivos, un usuario no autorizado podría acceder al sistema y modificar la configuración del dispositivo, posibilitando la ejecución de comandos maliciosos sin restricciones. Se ha asignado el identificador CVE-2023-0052 para esta vulnerabilidad.

La vulnerabilidad alta tiene asignado el identificador CVE-2023-0053.

Encuesta valoración