Inicio / Content / Boletín de INCIBE-CERT del 22-05-2020

Boletín de INCIBE-CERT del 22-05-2020

Almacenamiento de información confidencial en texto claro en varios productos de Sensormatic Electronics

Fecha de publicación: 
22/05/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Software House C•CURE 9000, versión 2.70;
  • American Dynamics victor Video Management System, versión 5.2.
Descripción: 

Johnson Controls ha notificado una vulnerabilidad al CISA, de severidad crítica, de tipo almacenamiento de información confidencial en texto claro, que afecta a varios productos de Sensormatic Electronics, LLC, una subsidiaria de Johnson Controls.

Solución: 
  • Software House C•CURE 9000: actualizar a la versión 2.80 o posteriores;
  • American Dynamics victor Video Management System: actualizar a la versión 5.3;
  • Eliminar los archivos de registro de c:\programdata\tyco\installertemp y cambiar la contraseña de la cuenta de Windows.
Detalle: 

Durante la instalación o actualización de C•CURE 9000 en su versión 2.70, y de American Dynamics victor Video Management System en su versión 5.2, las credenciales del usuario que realiza la instalación o actualización se guardan en un archivo. El archivo de registro de instalación persiste después de la instalación. Se ha asignado el identificador CVE-2020-9045 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-20-142-01) Johnson Controls Software House C-CURE 9000 and American Dynamics victor VMS
Etiquetas: 
Actualización
Infraestructuras críticas
Sanidad
Vulnerabilidad

Vulnerabilidad en Device Library Wizard de ABB

Fecha de publicación: 
22/05/2020
Importancia: 
4 - Alta
Recursos afectados: 

ABB Device Library Wizard, versiones 6.0.X, 6.0.3.1 y 6.0.3.2.

Descripción: 

Se ha publicado una vulnerabilidad en Device Library Wizard de ABB, de tipo divulgación de información, que podría permitir a un atacante tomar el control de uno o varios nodos del sistema.

Solución: 
  • Actualizar a las versiones 6.0.3.2 RU1, 6.0.3.3 o 6.1.X y posteriores.
  • ABB recomienda también cambiar las contraseñas de las cuentas de los usuarios que se sospeche que puedan ser conocidas por una persona sin experiencia. Se recomienda que el acceso interactivo (tanto local, como remoto) se deshabilite para la cuenta de servicio de estos artículos.
Detalle: 

Las versiones afectadas de Device Library Wizard, crean un archivo que contiene datos confidenciales que pueden ser leídos por usuarios con pocos privilegios. Esto podría permitir a un atacante tomar el control de uno o varios nodos del sistema. Se ha reservado el identificador CVE-2020-8482 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
SECURITY ABB Device Library Wizard Information Disclosure Vulnerability CVE ID: CVE-2020-8482
ICS Advisory (ICSA-20-175-03) ABB Device Library Wizard
Etiquetas: 
Actualización
Vulnerabilidad