Vulnerabilidad en Metasys de Johnson Controls Inc.

Fecha de publicación:

06/05/2022

Importancia:

4 - Alta

Recursos afectados:

Metasys ADS/ADX/OAS Servers, versiones 10 y 11.

Descripción:

Johnson Controls ha reportado esta vulnerabilidad de severidad alta al CISA, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y hacerse con sus cuentas.

Solución:

Actualizar todas las versiones 10 de Metasys ADS/ADX/OAS con el parche 10.1.5;
Actualizar todas las versiones 11 de Metasys ADS/ADX/OAS con el parche 11.0.

Detalle:

La falta de verificación en el cambio de contraseñas podría permitir a un usuario autentificado bloquear a otros usuarios del sistema y tomar el control de las cuentas. Se ha asignado el identificador CVE-2022-21934 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-22-125-01) Johnson Controls Metasys

JCI‐PSA‐2022‐09

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en Metasys de Johnson Controls Inc.

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Múltiples vulnerabilidades en InHand Networks InRouter302

Múltiples vulnerabilidades en Cambium Networks cnMaestro