Vulnerabilidad SSRF en Johnson Controls Metasys

Fecha de publicación:

22/04/2022

Importancia:

3 - Media

Recursos afectados:

Versiones anteriores a la 14.2.2 de los productos:

Metasys System Configuration Tool (SCT),
Metasys System Configuration Tool Pro (SCT Pro).

Descripción:

Tony West y Scott Ponte han reportado al fabricante una vulnerabilidad de severidad media, que podría permitir a un atacante determinar si existen archivos o rutas específicas.

Solución:

Actualizar Metasys SCT/SCT Pro a la versión 14.2.2.
Aplicar las medidas adecuadas para minimizar los riesgos de todos los sistemas de automatización del edificio.

Detalle:

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, identificar y falsificar solicitudes a sistemas internos a través de una solicitud especialmente diseñada. Se ha asignado el identificador CVE-2021-36203 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-22-111-02) Johnson Controls Metasys SCT Pro

JCI‐PSA‐2022‐03

Etiquetas:

Actualización

Infraestructuras críticas

IoT

Vulnerabilidad

Accesos corporativos

Vulnerabilidad SSRF en Johnson Controls Metasys

Inyección de comandos en Altenergy Power System Control Software de APsystems

Credenciales por defecto en ABB RCCMD

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump