Múltiples vulnerabilidades en productos de Trane

Fecha de publicación: 24/09/2021

Importancia:
Crítica

Recursos afectados:

• Symbio 700 (incluidos sistemas Odyssey Split), versiones anteriores a 1.00.0023;
• Symbio 800 (incluidos IntelliPak Rooftop Air Conditioner y los modelos de enfriadores: CenTraVac Simplex, CentraVac Duplex, ACR, RTAF, CMAF, HDWA.RTWF, CGWF, CXWF, CCUF y GVAF), versiones anteriores a 1.00.0007;
• Tracer SC, versiones anteriores a 4.4 SP7;
• Tracer SC+, versiones anteriores a 5.3 SP3;
• Tracer Concierge, versiones anteriores a 5.3 SP3.

Descripción:

Trane ha reportado al CISA vulnerabilidades de severidad critica y alta, por las que un un usuario autenticado, podría ejecutar código arbitrario en el controlador.

Solución:

Actualizar:

• controladores Symbio 700 a la versión 1.00.0023 u otra posterior,
• controladores Symbio 800 a la versión 1.00.0007 u otra posterior,
• Tracer SC a la versión 4.4 SP7 u otra posterior,
• Tracer SC+ a la versión 5.5 SP3 u otra posterior,
• Tracer Concierge a la versión 5.5 u otra posterior.

Contactar con un comercial de Trane para instalar el firmware actualizado.

Se recomienda a los usuarios de Tracer SC migrar a Tracer SC+, ya que se aproxima el fin de su ciclo de vida.

Detalle:

Los controladores afectados no comprueban adecuadamente la entrada que contiene la sintaxis del código, lo que podría permitir a un atacante alterar el flujo de control previsto del software. Se han asignado los identificadores CVE-2021-38450 y CVE-2021-38448 para estas vulnerabilidades de severidad crítica y alta.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad