Dos nuevos avisos de SCI
Múltiples vulnerabilidades en Ovation de Emerson
Versiones de Obation 3.8.0 Feature Pack 1 y anteriores.
Daniel dos Santos y Jos Wetzels, de Forescout Technologies, han reportado a CISA 2 vulnerabilidades de severidad crítica que podrían permitir la ejecución remota de código o denegación de servicio.
Actualizar a la versión de Ovation 3.8.0 Feature Pack 3.
- CVE-2022-29966: Ovation dispone de varios protocolos que no requieren autenticarse, lo que permitiría a un atacante cambiar la configuración del controlador o provocar una denegación de servicio.
- CVE-2022-30267: Ovation no tiene un sistema de autenticación para la firma del firmware, en su lugar utiliza un checksum inseguro para comprobar la integridad. Un atacante podría utilizar imágenes de firmware maliciosas para causar una denegación de servicio o conseguir la ejecución remota de código.
Machine-in-the-middle en productos Johnson Controls
- Software House iStar Pro Door Controller: todas las versiones.
- ICU: versiones 6.92.25888 y anteriores.
Johnson Controls ha publicado un boletín en el que informan de una vulnerabilidad de severidad crítica en iStar Pro Door Controller.
Debido a que iStar Pro Door Controller ha llegado al final de su soporte, no existe solución. Sin embargo, una serie de mitigaciones pueden llevarse a cabo tal como recomienda el fabricante.
Bajo determinadas circunstancias, la comunicación entre la herramienta ICU e iStar Pro Door Controller es susceptible a ataques de machine-in-the-middle que podrían afectar al control y la configuración de la puerta. Se ha asignado el identificador CVE-2024-32752 para la vulnerabilidad reportada.