Johnson Controls ha reportado esta vulnerabilidad de severidad alta, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y obtener el control de sus cuentas.
La vulnerabilidad identificada como CVE-2022-21934 de severidad alta, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a un cambio de contraseña en servidores ADS/ADX/OEA de Metasys. Un atacante autenticado podría explotar esta vulnerabilidad para bloquear a otros usuarios fuera del sistema y obtener el control de sus cuentas.
Las versiones afectadas son:
- Servidores Metasys ADS/ADX/OEA, versiones 10 y 11.
Recomendamos seguir los siguientes pasos para mitigar el riesgo asociado:
- Establecer el principio de usuario con privilegios mínimos.
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet.
- Localizar las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial.
- Para acceso remoto, utilizar métodos seguros, como las redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que VPN es tan seguro como sus dispositivos conectados.
Adicionalmente, recomendamos instalar las actualizaciones correspondientes que serán provistas por el fabricante:
Referencias: