Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en SAUTER Controls Nova

Fecha de publicación 13/01/2023
Identificador

INCIBE-2023-0014

Importancia
5 - Crítica
Recursos Afectados

Versiones de firmware 3.3-006, y anteriores con versiones de BACnetstac 4.2.1 y anteriores, para los siguientes productos:

  • Nova 220 (EYK220F001) DDC con conexión BACnet,
  • Nova 230 (EYK230F001) DDC con conexión BACnet,
  • Nova 106 (EYK300F001) tarjeta de comunicación BACnet,/li>
  • moduNet300 (EY-AM300F001, EY-AM300F002).
Descripción

Jairo Alonso Ortiz, Aarón Flecha Menéndez e Iñaki Lázaro Ayanz, investigadores de S21Sec, han notificado 2 vulnerabilidades en SAUTER Controls Nova, 1 de severidad crítica y 1 alta, cuya explotación podría permitir la visualización de información sensible no autorizada y la ejecución remota de código.

Solución

SAUTER Controls ha notificado que esta línea de productos ya no recibe soporte, debido a que se dejó de fabricar en 2016. Por lo que, recomienda a los usuarios que tomen todas las medidas necesarias para proteger la integridad del acceso a la red de automatización de edificios, utilizando todos los medios y políticas adecuados para minimizar los riesgos. También, aconseja que evalúen y actualicen los sistemas heredados a soluciones actuales cuando sea necesario.

Los usuarios afectados deben ponerse en contacto con SAUTER Controls para obtener instrucciones sobre la actualización de los sistemas heredados.

Detalle

La vulnerabilidad crítica podría permitir la ejecución de comandos sin necesidad de autenticación. Dado que Telnet y FTP son los únicos protocolos disponibles para la gestión de dispositivos, un usuario no autorizado podría acceder al sistema y modificar la configuración del dispositivo, posibilitando la ejecución de comandos maliciosos sin restricciones. Se ha asignado el identificador CVE-2023-0052 para esta vulnerabilidad.

La vulnerabilidad alta tiene asignado el identificador CVE-2023-0053.

Encuesta valoración