Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad SSRF en Johnson Controls Metasys

Fecha de publicación 22/04/2022
Importancia
3 - Media
Recursos Afectados

Versiones anteriores a la 14.2.2 de los productos:

  • Metasys System Configuration Tool (SCT),
  • Metasys System Configuration Tool Pro (SCT Pro).
Descripción

Tony West y Scott Ponte han reportado al fabricante una vulnerabilidad de severidad media, que podría permitir a un atacante determinar si existen archivos o rutas específicas.

Solución
  • Actualizar Metasys SCT/SCT Pro a la versión 14.2.2.
  • Aplicar las medidas adecuadas para minimizar los riesgos de todos los sistemas de automatización del edificio.
Detalle

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, identificar y falsificar solicitudes a sistemas internos a través de una solicitud especialmente diseñada. Se ha asignado el identificador CVE-2021-36203 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-111-02) Johnson Controls Metasys SCT Pro
JCI‐PSA‐2022‐03
Etiquetas