Fecha de publicaciĂłn: 13/01/2023
Importancia:
CrĂtica
Recursos afectados:
Versiones de firmware 3.3-006, y anteriores con versiones de BACnetstac 4.2.1 y anteriores, para los siguientes productos:
- Nova 220 (EYK220F001) DDC con conexiĂłn BACnet,
- Nova 230 (EYK230F001) DDC con conexiĂłn BACnet,
- Nova 106 (EYK300F001) tarjeta de comunicaciĂłn BACnet,/li>
- moduNet300 (EY-AM300F001, EY-AM300F002).
DescripciĂłn:
Jairo Alonso Ortiz, AarĂłn Flecha MenĂ©ndez e Iñaki LĂĄzaro Ayanz, investigadores de S21Sec, han notificado 2 vulnerabilidades en SAUTER Controls Nova, 1 de severidad crĂtica y 1 alta, cuya explotaciĂłn podrĂa permitir la visualizaciĂłn de informaciĂłn sensible no autorizada y la ejecuciĂłn remota de cĂłdigo.
SoluciĂłn:
SAUTER Controls ha notificado que esta lĂnea de productos ya no recibe soporte, debido a que se dejĂł de fabricar en 2016. Por lo que, recomienda a los usuarios que tomen todas las medidas necesarias para proteger la integridad del acceso a la red de automatizaciĂłn de edificios, utilizando todos los medios y polĂticas adecuados para minimizar los riesgos. TambiĂ©n, aconseja que evalĂșen y actualicen los sistemas heredados a soluciones actuales cuando sea necesario.
Los usuarios afectados deben ponerse en contacto con SAUTER Controls para obtener instrucciones sobre la actualizaciĂłn de los sistemas heredados.
Detalle:
La vulnerabilidad crĂtica podrĂa permitir la ejecuciĂłn de comandos sin necesidad de autenticaciĂłn. Dado que Telnet y FTP son los Ășnicos protocolos disponibles para la gestiĂłn de dispositivos, un usuario no autorizado podrĂa acceder al sistema y modificar la configuraciĂłn del dispositivo, posibilitando la ejecuciĂłn de comandos maliciosos sin restricciones. Se ha asignado el identificador CVE-2023-0052 para esta vulnerabilidad.
La vulnerabilidad alta tiene asignado el identificador CVE-2023-0053.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.