Inicio / Content / Boletín de INCIBE-CERT del 06-05-2022

Boletín de INCIBE-CERT del 06-05-2022

Vulnerabilidad en Metasys de Johnson Controls Inc.

Fecha de publicación: 
06/05/2022
Importancia: 
4 - Alta
Recursos afectados: 

Metasys ADS/ADX/OAS Servers, versiones 10 y 11.

Descripción: 

Johnson Controls ha reportado esta vulnerabilidad de severidad alta al CISA, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y hacerse con sus cuentas.

Solución: 
  • Actualizar todas las versiones 10 de Metasys ADS/ADX/OAS con el parche 10.1.5;
  • Actualizar todas las versiones 11 de Metasys ADS/ADX/OAS con el parche 11.0.
Detalle: 

La falta de verificación en el cambio de contraseñas podría permitir a un usuario autentificado bloquear a otros usuarios del sistema y tomar el control de las cuentas. Se ha asignado el identificador CVE-2022-21934 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-22-125-01) Johnson Controls Metasys
JCI‐PSA‐2022‐09
Etiquetas: 
Actualización
Infraestructuras críticas
Vulnerabilidad

Ejecución de comandos arbitrarios en productos AVEVA

Fecha de publicación: 
06/05/2022
Importancia: 
4 - Alta
Recursos afectados: 

Todas las versiones de:

  • AVEVA™ InTouch Access Anywhere,
  • AVEVA™ Plant SCADA Access Anywhere.
Descripción: 

Giovanni Delvecchio, investigador de Aceaspa, ha descubierto y notificado una vulnerabilidad con severidad alta en productos AVEVA, que podría permitir la ejecución de comandos arbitrarios del sistema operativo.

Solución: 

Los clientes que utilizan los productos de AVEVA afectados deben seguir las medidas de mitigación descritas en la sección Mitigation Steps del aviso del fabricante.

Detalle: 

Ciertas funcionalidades de Windows, cuando se activan y se utilizan en combinación con productos AVEVA, podrían dar lugar a una vulnerabilidad que permitiría a un usuario autenticado escapar del contexto de la aplicación transmitida al sistema operativo y ejecutar comandos arbitrarios del sistema operativo.

Encuesta valoración

Referencias: 
SECURITY ADVISORY AVEVA-2022-001
ICS Advisory (ICSA-22-130-05) AVEVA InTouch Access Anywhere and Plant SCADA Access Anywhere
Etiquetas: 
Infraestructuras críticas
SCADA
Vulnerabilidad
Windows