Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Control de acceso inadecuado en TRUMPF TruTops

Fecha de publicación 18/10/2022
Identificador

INCIBE-2022-0972

Importancia
5 - Crítica
Recursos Afectados
  • Todas las versiones de:
    • Job Order Interface;
    • TruTops Boost con opción 'Graphic separation of cut parts';
    • TruTops Boost con opción 'Inventory of sheets and remainder sheets';
    • TruTops Fab;
    • TruTops Monitor.
  • Oseon versión 1.6 y anteriores.
Descripción

El CERT@VDE, coordinado con el fabricante afectado TRUMPF, ha publicado una vulnerabilidad crítica. Los productos TRUMPF utilizan los usuarios y las contraseñas predeterminados con privilegios en Windows, un atacante podría usar estas cuentas para obtener un acceso completo al sistema de forma remota.

Solución

Ponerse en contacto con el Servicio TRUMPF con el número PR 496330.

Detalle

Durante la instalación de aplicaciones específicas de TRUMPF para Windows, se crean usuarios locales privilegiados con nombres de usuario y contraseñas predeterminados. Un atacante podría usar estos usuarios para acceder y comprometer los sistemas Windows afectados y, bajo ciertas circunstancias, otros recursos de la red. Se ha asignado el identificador CVE-2022-2052 para esta vulnerabilidad.

Encuesta valoración