Home / Node / Boletín de INCIBE-CERT del 09-10-2020

Boletín de INCIBE-CERT del 09-10-2020

Autorización incorrecta en American Dynamics victor Web Client de Johnson Controls

Publication date: 
10/09/2020
Importance: 
4 - Alta
Affected resources: 

American Dynamics victor Web Client, todas las versiones hasta la 5.4.1 inclusive.

[Actualización 07/01/2021]:

Software House C•CURE Web Client: versiones 2.80 y anteriores.

Description: 

Joachim Kerschbaumer reportó al fabricante Johnson Controls una vulnerabilidad, con severidad alta, de tipo autorización incorrecta.

Solution: 

Actualizar el producto afectado a la versión 5.6.

[Actualización 07/01/2021]:

Actualizar victor Web Client a la versión v5.6;

  • C•CURE Web v2.60 y anteriores: actualizar como mínimo a la v2.70 e instalar las actualizaciones oportunas siguientes:
  • C•CURE Web v2.70: actualizar con WebClient_c2.70_5.2_Update02;
  • C•CURE Web v2.80: actualizar con WebClient_c2.80_v5.4.1_Update04.

disponibles en el centro de descargas.

Detail: 

American Dynamics victor Web Client no realiza una verificación de autorización cuando un atacante, con acceso desde una red adyacente, intenta eliminar archivos arbitrarios del sistema. Se ha asignado el identificador CVE-2020-9048 para esta vulnerabilidad.

Encuesta valoración

Consumo incontrolado de recursos en Mitsubishi Electric MELSEC iQ-R Series

Publication date: 
10/09/2020
Importance: 
4 - Alta
Affected resources: 

[Actualización 30/10/2020] Se encuentran afectados los siguientes módulos de MELSEC iQ-R:

  • R00/01/02CPU, versiones de firmware 20 y anteriores;
  • R04/08/16/32/120(EN)CPU, versiones de firmware 22 y anteriores;
  • R08/16/32/120SFCPU, versiones de firmware 22 y anteriores;
  • R08/16/32/120PCPU, todas las versiones;
  • R16/32/64MTCPU, todas las versiones;
  • R08/16/32/120PCPU, versiones de firmware 25 y anteriores.
Description: 

El investigador Yossi Reuven, de SCADAfence, ha identificado una vulnerabilidad en la serie MELSEC iQ-R de Mitsubishi Electric, que podría provocar una denegación de servicio debido al consumo descontrolado de recursos.

Solution: 

Mitsubishi Electric publicará un parche próximamente para esta vulnerabilidad. Si tiene preguntas, consulte con un representante de Mitsubishi Electric.

La recomendación de Mitsubishi Electric a los usuarios es que tomen las siguientes medidas de mitigación para minimizar el riesgo:

  • Utilice una red privada virtual (VPN) para evitar el acceso no autorizado a través de Internet.
  • Minimice la exposición del dispositivo, restrinja el acceso a la red LAN y bloquee el acceso a equipos que no sean de confianza a través de los cortafuegos.

[Actualización 30/10/2020] Los siguientes módulos han sido actualizados:

  • R00/01/02CPU: versiones de firmware 21 o superiores;
  • R04/08/16/32/120CPU, R04/08/16/32/120ENCPU: versiones de firmware 53 o superiores;
  • R08/16/32/120SFCPU: versiones de firmware 23 o superiores;
  • R08/16/32/120PCPU: versiones de firmware 26 o superiores.
Detail: 

La vulnerabilidad encontrada puede ser explotada de forma remota enviando paquetes, especialmente diseñados, a módulos de la serie MELSEC iQ-R, causando un consumo descontrolado de recursos y una denegación de servicio.

Se ha asignado el identificador CVE-2020-16850 para esta vulnerabilidad.

Encuesta valoración