Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en controladores Honeywell Experion PKS y ACE

Fecha de publicación 06/10/2021
Importancia
5 - Crítica
Recursos Afectados

Experion PKS versiones:

  • C200: todas las versiones;
  • C200E: todas las versiones;
  • Controladores C300 y ACE: todas las versiones.
Descripción

Los investigadores Rei Henigman y Nadav Erez de Claroty han descubierto diferentes vulnerabilidades en los controladores Honeywell Experion PKS y ACE que permitirían a un atacante remoto ejecutar código arbitrario, causar una condición de denegación de servicio o el acceso a archivos y directorios no autorizados.

Solución

Honeywell todavía no ha publicado nuevas versiones que solucionen estas vulnerabilidades y recomienda a los usuarios que sigan todas las pautas de la Guía de planificación de seguridad y redes de Experion.

Puede encontrar información adicional en el documento de soporte de Honeywell SN2021-02-22-01

Detalle

Se han descubierto tres vulnerabilidades en controladores Honeywell Experion PKS y ACE, siendo la vulnerabilidad más crítica la causada por la carga de archivos sin restricciones en los dispositivos afectados, lo que puede permitir que un atacante ejecute código arbitrario de forma remota, a la que se ha asignado el identificador CVE-2021-38397.

Las otras vulnerabilidades identificadas tienen asignados los identificadores CVE-2021-38395 y CVE-2021-38399.

Encuesta valoración