Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Facility Explorer de Johnson Controls

Fecha de publicación: 23/01/2019

Importancia: Crítica

Recursos afectados:

  • Facility Explorer versiones 14.X anteriores a la versión 14.4u1
  • Facility Explorer versiones 6.X anteriores a la 6.6

Descripción:

Tridium identificó múltiples vulnerabilidades que afectan a los productos de automatización Facility Explorer de Johnson Controls. Un atacante podría acceder al sistema aprovechando una gestión incorrecta de las contraseñas y obtener acceso a los ficheros para su lectura, modificación, eliminación e incluso obtener permisos de administrador.

Solución:

Johnson Controls ha mitigado estas vulnerabilidades en versiones posteriores del producto. Los usuarios deben actualizar sus versiones a una segura, se recomienda la versión (FX14.6).

  • Facility Explorer 14.6 (Fecha de lanzamiento septiembre 2018).
  • Facility Explorer 14.4u1 (Fecha de lanzamiento agosto 2018).
  • Facility Explorer 6.6 (Fecha de lanzamiento agosto 2018).

Detalle:

  • Un atacante con acceso al sistema Facility Explorer y permisos de administrador, podría realizar una vulnerabilidad del tipo de salto de directorio (?path traversal?), para acceder a ficheros sin permisos o directorios restringidos. Se ha asignado el identificador CVE-2017-16744 para esta vulnerabilidad.
  • Un fallo en las cuentas de usuario deshabilitadas con el campo contraseña en blanco, podría permitir a un atacante acceder al sistema con permisos de administrador. Se ha asignado el identificador CVE-2017-16748 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad