Vulnerabilidades de transmisión de texto en claro de información sensible en múltiples productos de Honeywell

Fecha de publicación:

25/06/2020

Importancia:

3 - Media

Recursos afectados:

ControlEdge PLC, versiones R130.2, R140, R150 y R151;
ControlEdge RTU, versiones R101, R110, R140, R150 y R151.

Descripción:

Nikolay Sklyarenko, de Kaspersky, ha reportado 2 vulnerabilidades a CISA, ambas de severidad media y de tipo transmisión de texto en claro de información sensible.

Solución:

Honeywell ha proporcionado información detallada para mitigar la comunicación insegura en Control Edge PLC y RTU, a través del documento SN2020-04-17-01-ConotrolEdge-PLC-and- and-RTU-Secure-Communication.

Detalle:

El dispositivo afectado expone contraseñas sin cifrar en la red. Se ha reservado el identificador CVE-2020-10628 para esta vulnerabilidad.
El producto afectado expone un token de sesión en la red. Se ha reservado el identificador CVE-2020-10624 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-20-175-02) Honeywell ControlEdge PLC and RTU

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidades de transmisión de texto en claro de información sensible en múltiples productos de Honeywell

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Múltiples vulnerabilidades en InHand Networks InRouter302

Múltiples vulnerabilidades en Cambium Networks cnMaestro