Múltiples vulnerabilidades en productos de Johnson Controls

Fecha de publicación 11/03/2020
Importancia
5 - Crítica
Recursos Afectados
  • Kantech EntraPass Corporate Edition, versión 8.10 y anteriores;
  • Kantech EntraPass Global Edition, versión 8.10 y anteriores;
  • Metasys Application and Data Server, versión 10.1 y anteriores;
  • Metasys Extended Application and Data Server, versión 10.1 y anteriores;
  • Metasys Open Data Server, versión 10.1 y anteriores;
  • Metasys Open Application Server, versión 10.1 y anteriores;
  • Metasys Network Automation Engine, versiones 9.0.1, 9.0.2, 9.0.3, 9.0.5 y 9.0.6;
  • Metasys Network Integration Engine, versiones 9.0.1, 9.0.2, 9.0.3, 9.0.5 y 9.0.6;
  • Metasys NAE85 y NIE85, versión 10.1 y anteriores;
  • Metasys LonWorks Control Server, versión 10.1 y anteriores;
  • Metasys System Configuration Tool, versión 13.2 y anteriores;
  • Metasys Smoke Control Network Automation Engine, versión 8.1.
Descripción

Se han reportado vulnerabilidades que afectan a múltiples productos de Johnson Controls y que podrían permitir a un atacante ejecutar código malicioso con privilegios del sistema, provocar un ataque de denegación de servicio o acceder a información sensible.

Solución

Actualizar a la versión 8.10 de EntraPass.

Detalle
  • Un problema en la API podría permitir a un atacante remoto subir y ejecutar código malicioso con privilegios del sistema. Se ha asignado el identificador CVE-2019-7589 para esta vulnerabilidad.
  • Una vulnerabilidad XXE podría permitir a un atacante extraer archivos ASCII del servidor. Se ha asignado el identificador CVE-2020-9044 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-070-04) Johnson Controls Kantech EntraPass
ICS Advisory (ICSA-20-070-05) Johnson Controls Metasys
Etiquetas