Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 25/10/2019

Importancia: Crítica

Recursos afectados:

Interfaz web de Chiller SK 3232-Series basada en el firmware Carel pCOWeb A1.5.3 ? B1.2.4.

Descripción:

Applied Risk ha reportado varias vulnerabilidades, de tipo falta de autenticación en función crítica y uso de credenciales embebidas, en el producto Chiller SK 3232-Series de Rittal. La explotación exitosa de estas vulnerabilidades podría interrumpir las operaciones primarias del componente afectado, apagar el enfriamiento de otros equipos y permitir cambios en el punto de ajuste de temperatura.

Solución:

Para obtener información sobre las mitigaciones de estas vulnerabilidades se recomienda contactar con el soporte de Rittal a través de la siguiente dirección de correo: [email protected].

Detalle:

• El mecanismo de autenticación en los sistemas afectados no proporciona un nivel suficiente de protección contra cambios de configuración no autorizados. Las operaciones primarias, es decir, el encendido y apagado de la unidad de refrigeración y el ajuste del punto de ajuste de la temperatura, pueden modificarse sin necesidad de autenticación. Se ha reservado el identificador CVE-2019-13549 para esta vulnerabilidad.
• El mecanismo de autenticación en los sistemas afectados se configura utilizando credenciales embebidas. Estas credenciales podrían permitir a los atacantes influir en las operaciones primarias de los sistemas afectados, a saber, encender y apagar la unidad de refrigeración y establecer el punto de ajuste de temperatura. Se ha reservado el identificador CVE-2019-13553 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad