Vulnerabilidades de transmisión de texto en claro de información sensible en múltiples productos de Honeywell

Fecha de publicación:

25/06/2020

Importancia:

3 - Media

Recursos afectados:

ControlEdge PLC, versiones R130.2, R140, R150 y R151;
ControlEdge RTU, versiones R101, R110, R140, R150 y R151.

Descripción:

Nikolay Sklyarenko, de Kaspersky, ha reportado 2 vulnerabilidades a CISA, ambas de severidad media y de tipo transmisión de texto en claro de información sensible.

Solución:

Honeywell ha proporcionado información detallada para mitigar la comunicación insegura en Control Edge PLC y RTU, a través del documento SN2020-04-17-01-ConotrolEdge-PLC-and- and-RTU-Secure-Communication.

Detalle:

El dispositivo afectado expone contraseñas sin cifrar en la red. Se ha reservado el identificador CVE-2020-10628 para esta vulnerabilidad.
El producto afectado expone un token de sesión en la red. Se ha reservado el identificador CVE-2020-10624 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-20-175-02) Honeywell ControlEdge PLC and RTU

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidades de transmisión de texto en claro de información sensible en múltiples productos de Honeywell

Validación de entrada incorrecta en APM Connect de GE

Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Múltiples vulnerabilidades en Mitsubishi Electric GOT2000

Múltiples vulnerabilidades en CIM 500 de Grundfos Pumps Corporation

Múltiples vulnerabilidades en OpenClinic GA