Inicio / Content / Boletín de INCIBE-CERT del 25-10-2019

Boletín de INCIBE-CERT del 25-10-2019

Exposición de recursos en IntelliSpace Perinatal de Philips

Fecha de publicación: 
25/10/2019
Importancia: 
3 - Media
Recursos afectados: 

IntelliSpace Perinatal versión K y anteriores.

Descripción: 

Philips ha identificado una vulnerabilidad de criticidad media. Un atacante podría conseguir acceso sin autorización a los recursos del sistema, incluyendo la ejecución de software o ver/modificar ficheros, directorios, o la configuración del sistema.

Solución: 

Philips actualizará la documentación disponible en el portal Philips InCenter para proporcionar una guía clara sobre las mitigaciones.

Detalle: 

La vulnerabilidad dentro del entorno de la aplicación IntelliSpace Perinatal podría permitir que un atacante no autorizado con acceso físico a una pantalla de aplicación bloqueada, o a un usuario de la aplicación de sesión de escritorio remoto autorizado, puedan acceder a recursos no autorizados del sistema operativo Windows, como usuario de Windows con acceso limitado. Debido a las posibles vulnerabilidades de Windows, es posible que se utilicen métodos de ataque adicionales para escalar los privilegios en el sistema operativo. Se ha reservado el identificador CVE-2019-13546 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Chiller SK 3232-Series de Rittal

Fecha de publicación: 
25/10/2019
Importancia: 
5 - Crítica
Recursos afectados: 

Interfaz web de Chiller SK 3232-Series basada en el firmware Carel pCOWeb A1.5.3 – B1.2.4.

Descripción: 

Applied Risk ha reportado varias vulnerabilidades, de tipo falta de autenticación en función crítica y uso de credenciales embebidas, en el producto Chiller SK 3232-Series de Rittal. La explotación exitosa de estas vulnerabilidades podría interrumpir las operaciones primarias del componente afectado, apagar el enfriamiento de otros equipos y permitir cambios en el punto de ajuste de temperatura.

Solución: 

Para obtener información sobre las mitigaciones de estas vulnerabilidades se recomienda contactar con el soporte de Rittal a través de la siguiente dirección de correo: info@rittal.de.

Detalle: 
  • El mecanismo de autenticación en los sistemas afectados no proporciona un nivel suficiente de protección contra cambios de configuración no autorizados. Las operaciones primarias, es decir, el encendido y apagado de la unidad de refrigeración y el ajuste del punto de ajuste de la temperatura, pueden modificarse sin necesidad de autenticación. Se ha reservado el identificador CVE-2019-13549 para esta vulnerabilidad.
  • El mecanismo de autenticación en los sistemas afectados se configura utilizando credenciales embebidas. Estas credenciales podrían permitir a los atacantes influir en las operaciones primarias de los sistemas afectados, a saber, encender y apagar la unidad de refrigeración y establecer el punto de ajuste de temperatura. Se ha reservado el identificador CVE-2019-13553 para esta vulnerabilidad.

Encuesta valoración

Falta de autenticación en IP-AK2 de Honeywell

Fecha de publicación: 
25/10/2019
Importancia: 
3 - Media
Recursos afectados: 
  • Panel de control de acceso IP-AK2 versión 1.04.07 y anteriores.
Descripción: 

El investigador Maxim Rupp ha reportado una vulnerabilidad de tipo falta de autenticación en función crítica que podría permitir a un atacante descargar ficheros de configuración a través de URL sin autentificación, revelando configuración e información de visitantes autorizados.

Solución: 

Actualizar a la versión 1.04.15.

Detalle: 

El servidor web integrado de los dispositivos afectados podría permitir a atacantes remotos, sin autenticación, obtener datos de configuración de la web. Se ha asignado el identificador CVE-2019-13525 para esta vulnerabilidad.

Encuesta valoración