Inicio / Content / Boletín de INCIBE-CERT del 04-06-2021

Boletín de INCIBE-CERT del 04-06-2021

Escalada de privilegios en múltiples productos de Johnson Controls

Fecha de publicación: 
04/06/2021
Importancia: 
4 - Alta
Recursos afectados: 

Los siguientes productos que trabajan con las versiones del sistema Metasys indicadas:

  • Application and Data Server (ADS), versión 11.0 y anteriores;
  • ADS-Lite (modelo europeo y asiático), versión 11.0 y anteriores;
  • Extended Application and Data Server (ADX), versión 11.0 y anteriores;
  • Metasys Energy Essentials, versión 11.0 y anteriores;
  • Metasys for Validated Environments (MVE), versión 11.0 y anteriores;
  • NAE85 series network automation engine, versión 11.0 y anteriores;
  • LCS85 series LonWorks Control Server, versión 11.0 y anteriores;
  • Open Application Server (OAS), versión 11.0 y anteriores;
  • Open Data Server (ODS), versión 10.1.2 y anteriores;
  • NAE55 y NIE59 series network automation engines, versión 11.0 y anteriores;
  • NxE25, NxE35, NxE45, NxE45-lite, NIE29, NIE39, y NIE49, versión 9.0.6 y anteriores para Windows, y versión 9.0.7 y posteriores para Linux;
  • SNC and SNE engine models, versión 11.0 y anteriores;
  • System Configuration Tool (SCT), versión SCT 14.1 y anteriores;
  • Metasys UL/cUL 864 UUKL 10th Edition, versión 8.1 y anteriores.
Descripción: 

Johnson Controls ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante autenticado realizar una escalada de privilegios.

Solución: 

Aplicar el parche apropiado al correspondiente producto afectado según indican las tablas 3, 4 y 5 facilitadas en el aviso del fabricante.

Para los productos que no dispongan de parche, se recomienda aplicar las medidas de mitigación indicadas en la tabla 1 facilitada en el mismo aviso del fabricante.

La vulnerabilidad se solucionará próximamente en la versión 12.0 de Metasys.

Detalle: 

Una vulnerabilidad en Metasys podría permitir a un atacante autenticado realizar una escalada de privilegios en el sistema de archivos del servidor, pudiendo acceder o modificar los archivos del sistema mediante el envío de mensajes web especialmente diseñados. Se ha asignado el identificador CVE-2021-27657 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en iView de Advantech

Fecha de publicación: 
04/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones de iView anteriores a 5.7.03.6182.

Descripción: 

Selim Enes Karaduman @enesdex, en colaboración con ZDI de Trend Micro, informaron de vulnerabilidades que podrían permitir a un atacante revelar información y realizar una ejecución remota de código.

Solución: 

Actualizar el firmware a la versión 5.7.03.6182 para solucionar estas vulnerabilidades.

Detalle: 
  • La configuración del producto afectado es vulnerable debido a la falta de autenticación, lo que podría permitir a un atacante cambiar la configuración y ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32930 para esta vulnerabilidad de severidad alta.
  • El producto afectado es vulnerable a una inyección SQL, que podría permitir a un atacante no autorizado revelar información. Se ha asignado el identificador CVE-2021-32932 para esta vulnerabilidad de severidad crítica.

Encuesta valoración

Múltiples vulnerabilidades en Automation Runtime de B&R Automation

Fecha de publicación: 
04/06/2021
Importancia: 
4 - Alta
Recursos afectados: 

Automation Runtime (AR), versión 4.8 y anteriores.

Descripción: 

B&R Automation ha publicado 73 vulnerabilidades, de severidades baja, media y alta, que afectan al servicio NTP.

Solución: 

Actualizar AR a la versión 4.9 o superiores. En caso de no poder actualizar, aplicar las medidas descritas en la sección Workarounds and Mitigations del aviso de B&R.

Detalle: 

Automation Runtime (AR) cuenta con un servicio NTP basado en ntpd, una implementación de referencia del Network Time Protocol (NTP). Las versiones de AR afectadas incluyen una versión obsoleta de ntpd que está afectada por un gran número de vulnerabilidades:

  • denegación de servicio,
  • vulneración de la protección criptográfica,
  • ejecución de código arbitrario,
  • desbordamiento de búfer,
  • error de autenticación,
  • sobreescritura en archivos arbitrarios,
  • omisión de autenticación,
  • man-in-the-middle,
  • suplantación,
  • IP spoofing,
  • referencia fuera de límites,
  • escritura fuera de límites,
  • escalada de privilegios,
  • desreferencia a puntero nulo.

El listado completo de identificadores CVE puede consultarse en el Appendix A del aviso de B&R.

Encuesta valoración