Control de acceso inadecuado en TRUMPF TruTops
INCIBE-2022-0972
- Todas las versiones de:
- Job Order Interface;
- TruTops Boost con opción 'Graphic separation of cut parts';
- TruTops Boost con opción 'Inventory of sheets and remainder sheets';
- TruTops Fab;
- TruTops Monitor.
- Oseon versión 1.6 y anteriores.
El CERT@VDE, coordinado con el fabricante afectado TRUMPF, ha publicado una vulnerabilidad crítica. Los productos TRUMPF utilizan los usuarios y las contraseñas predeterminados con privilegios en Windows, un atacante podría usar estas cuentas para obtener un acceso completo al sistema de forma remota.
Ponerse en contacto con el Servicio TRUMPF con el número PR 496330.
Durante la instalación de aplicaciones específicas de TRUMPF para Windows, se crean usuarios locales privilegiados con nombres de usuario y contraseñas predeterminados. Un atacante podría usar estos usuarios para acceder y comprometer los sistemas Windows afectados y, bajo ciertas circunstancias, otros recursos de la red. Se ha asignado el identificador CVE-2022-2052 para esta vulnerabilidad.