Inicio / Content / Boletín de INCIBE-CERT del 02-07-2021

Boletín de INCIBE-CERT del 02-07-2021

Múltiples vulnerabilidades en sistemas de aire acondicionado de Mitsubishi Electric

Fecha de publicación: 
02/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Air Conditioning System/Centralized Controllers:
    • G-50A: Versión 3.35 y anteriores;
    • GB-50A: Versión 3.35 y anteriores;
    • GB-24A: Versión 9.11 y anteriores;
    • AG-150A-A: Versión 3.20 y anteriores;
    • AG-150A-J: Versión 3.20 y anteriores;
    • GB-50ADA-A: Versión 3.20 y anteriores;
    • GB-50ADA-J: Versión 3.20 y anteriores;
    • EB-50GU-A: Versión 7.09 y anteriores;
    • EB-50GU-J: Versión 7.09 y anteriores;
    • AE-200A: Versión 7.93 y anteriores;
    • AE-200E: Versión 7.93 y anteriores;
    • AE-50A: Versión 7.93 y anteriores;
    • AE-50E: Versión 7.93 y anteriores;
    • EW-50A: Versión 7.93 y anteriores;
    • EW-50E: Versión 7.93 y anteriores;
    • TE-200A: Versión 7.93 y anteriores;
    • TE-50A: Versión 7.93 y anteriores;
    • TW-50A: Versión 7.93 y anteriores;
    • CMS-RMD-J: Versión 1.30 y anteriores.
  • Air Conditioning System/Expansion Controllers:
    • PAC-YG50ECA: Versión 2.20 y anteriores.
  • Air Conditioning System/BM adapter:
    • BAC-HD150: Versión 2.21 y anteriores.
Descripción: 
  • Chizuru Toyama, de TXOne IoT/ICS Security Research Labs, en colaboración con Trend Micro’s ZDI, ha reportado una vulnerabilidad alta que podría permitir a un atacante suplantar a los administradores para revelar la información de configuración del sistema de aire acondicionado con el fin de manipular la información de funcionamiento y la configuración del sistema.
  • Howard McGreehan de Aon's Cyber Solution ha reportado una vulnerabilidad crítica que podría permitir a un atacante revelar algunos de los datos del sistema de aire acondicionado o causar una condición de denegación de servicio.
Solución: 

Actualizar a una versión indicada en el apartado 4. MITIGATIONS de cada aviso del CISA.

Detalle: 

El producto afectado no restringe adecuadamente las referencias a entidades externas XML. A esta vulnerabilidad de severidad crítica se le ha asignado el identificador CVE-2021-20595.

Las funciones web de los sistemas de aire acondicionado de Mitsubishi Electric tienen una vulnerabilidad de escalada de privilegios, debido a una implementación incorrecta del algoritmo de autenticación. Esta vulnerabilidad podría permitir a un atacante hacerse pasar por un administrador y manipular información (por ejemplo, información de funcionamiento y configuración del sistema de aire acondicionado). A esta vulnerabilidad de severidad alta se le ha asignado el identificador CVE-2021-20593.

Encuesta valoración

[Actualización 13/08/2021] Múltiples vulnerabilidades en varios productos de Johnson Controls

Fecha de publicación: 
02/07/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Facility Explorer SNC Series Supervisory Controller, versión 11;
  • C-CURE 9000, todas las versiones anteriores a la 2.80.
Descripción: 

Johnson Controls ha reportado al CISA dos vulnerabilidades de severidad alta que podrían permitir a un atacante remoto realizar una escalada de privilegios.

Solución: 
  • Aplicar el parche correspondiente al producto Facility Explorer SNC Series Supervisory Controllers (F4-SNC), siguiendo las instrucciones recogidas en el aviso JCI-PSA-2021-11 v1 del fabricante.
  • Actualizar C-CURE 9000 a la versión 2.80 u otra posterior. Si esto no fuera posible, el fabricante recomienda deshabilitar las actualizaciones automáticas, siguiendo las instrucciones del documento SWH-TAB-nID-000006545.

[Actualización 13/08/2021]:

El fabricante recomienda desinstalar la función C-CURE 9000 Auto Update cuando no se utilice.

  • Versiones anteriores a la 2.60:
    • deberían actualizarse previamente a la versión 2.60 Service Pack 2 CU07 o posterior.
  • Versiones anteriores a la 2.60 y 2.70:
    • actualizar previamente a las versiones 2.60 Service Pack 2 CU07, 2.70 Service Pack 2 CU01 o posteriores.;
    • en una máquina con el servidor C-CURE 9000 instalado, el paquete de servicio eliminará automáticamente el cliente de actualización automática;
    • en los equipos cliente remotos, al ejecutar el paquete de servicio y si el servicio de actualización automática está instalado, un aviso preguntará a los usuarios si desean eliminar el servicio;
    • si los usuarios ejecutan el paquete de servicio en modo silencioso, deben ejecutarlo con el parámetro opcional "/REMOVEAUTOUPDATE" para eliminar el cliente de actualización automática.
  • Versiones 2.80 y 2.90:
    • a partir de la versión 2.80 de C-CURE 9000, la función de actualización automática del cliente es una instalación independiente.
    • desde Programas y características de Windows en el servidor de aplicaciones, seleccionar Actualización automática de C-CURE 9000, haga clic con el botón derecho y luego seleccione Desinstalar.
    • en Programas y características de Windows, donde estén instalados los clientes de C-CURE 9000 (estación de monitoreo, estación de trabajo de administración y el servicio de actualización automática), seleccionar CCURE9000ClientAutoupdate, hacer clic con el botón derecho y luego seleccionar Desinstalar.
Detalle: 
  • Una vulnerabilidad de gestión de privilegios inadecuada en Facility Explorer SNC Series Supervisory Controllers podría permitir a un atacante remoto y autenticado realizar una escalada de privilegios en el sistema de archivos del controlador mediante el envío de mensajes web especialmente diseñados. Se ha asignado el identificador CVE-2021-27661 para esta vulnerabilidad.
  • Una vulnerabilidad de validación de entrada inadecuada en la función de actualización de C-CURE 9000 podría permitir a un atacante remoto ejecutar programas de Windows con menos privilegios. Se ha asignado el identificador CVE-2021-27660 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad en módulos procesadores del sistema M1 de Bachmann

Fecha de publicación: 
02/07/2021
Importancia: 
4 - Alta
Recursos afectados: 

M-Base Operating Systems y Middleware, todas las versiones desde MSYS v1.06.14, lo cual incluye los siguientes controladores de hardware M1: MX207, MX213, MX220, MC206, MC212, MC220, MH230, MC205, MC210, MH212, ME203, CS200, MP213, MP226, MPC240, MPC265, MPC270, MPC293, MPE270, CPC210.

Descripción: 

CISA ha publicado una vulnerabilidad, de severidad alta, que podría permitir a un atacante remoto, no autenticado, obtener los hashes de las contraseñas.

Solución: 

Bachmann recomienda a sus usuarios directos y a los fabricantes de equipos originales (OEM) que actualicen a la versión 4.49-P1, que está disponible con el número de artículo 00036634-90. Para obtener la versión 3.95R-P8, el usuario final debe ponerse en contacto con su gestor de cuentas clave o con el agente de asistencia técnica de Bachmann. Los propietarios de activos deben ponerse en contacto con su OEM distribuidor para obtener los parches. Bachmann no proporciona soporte directamente a los propietarios de activos. Por favor, consulte la nota de información al cliente de Bachmann para más detalles. Se requiere la contraseña "_pC5#3fS@Y8s" para acceder.

Si no es posible actualizar a la última versión o el OEM o el distribuidor no dispone de un parche, Bachmann recomienda poner en práctica las siguientes medidas de mitigación:

  • Actualizar el nombre de usuario y la contraseña por defecto en el gestor de inicio de sesión de Bachmann para las operaciones de campo.
  • Los usuarios directos o los OEM pueden utilizar su propio gestor de inicio de sesión (por ejemplo, LDAP, Radius, etc.) para eludir el gestor de autenticación por defecto. Se sigue recomendando el nivel de seguridad 4 para las operaciones de campo.
  • Restringir el acceso físico al dispositivo sólo al personal autorizado.

El nivel de seguridad 0 por defecto en los controladores Bachmann es inseguro y no debe utilizarse en operaciones de campo. Los niveles de seguridad 1, 2 y 3 tampoco se recomiendan para las operaciones de campo. El uso de Telnet, FTP y el acceso a la consola durante las operaciones de campo puede dar lugar a la explotación de vulnerabilidades inherentes, como el acceso no autenticado o la exposición de información sensible. Bachmann recomienda encarecidamente a los usuarios que apliquen el nivel de seguridad 4, en el que la comunicación con el dispositivo se limita a los servicios protegidos por TLS y todos los servicios inseguros están desactivados.

Detalle: 

Los controladores M-Base afectados utilizan una criptografía débil para proteger las contraseñas de los dispositivos. El nivel de seguridad 0 está configurado por defecto por el fabricante, lo que podría permitir a un atacante remoto no autentificado acceder a los hashes de las contraseñas. El nivel de seguridad 4 es susceptible si un atacante remoto autenticado o una persona no autenticada con acceso físico al dispositivo lee y descifra la contraseña para realizar otros ataques. Se ha asignado el identificador CVE-2020-16231 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Delta Electronics DOPSoft

Fecha de publicación: 
02/07/2021
Importancia: 
4 - Alta
Recursos afectados: 

DOPSoft, versión 4.0.10.17 y anteriores.

Descripción: 

Natnael Samson (@NattiSamson), en colaboración con ZDI de Trend Micro, ha reportado 2 vulnerabilidades, una de severidad alta y otra baja, que podrían permitir a un atacante ejecutar código arbitrario y divulgar información.

Solución: 

Delta Electronics ha publicado una versión actualizada de DOPSoft y recomienda a los usuarios instalar esta actualización en todos los sistemas afectados.

Detalle: 
  • El producto afectado es vulnerable a una lectura fuera de límites, que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-27412 para esta vulnerabilidad alta.
  • El producto afectado es vulnerable a una lectura fuera de límites al procesar archivos de proyectos, lo que podría permitir a un atacante revelar información. Se ha asignado el identificador CVE-2021-27455 para esta vulnerabilidad baja.

Encuesta valoración