Vulnerabilidad en Metasys de Johnson Controls Inc. 

Johnson Controls ha reportado esta vulnerabilidad de severidad alta, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y obtener el control de sus cuentas. 

La vulnerabilidad identificada como CVE-2022-21934 de severidad alta, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a un cambio de contraseña en servidores ADS/ADX/OEA de Metasys. Un atacante autenticado podría explotar esta vulnerabilidad para bloquear a otros usuarios fuera del sistema y obtener el control de sus cuentas. 

Las versiones afectadas son: 

  • Servidores Metasys ADS/ADX/OEA, versiones 10 y 11. 

Recomendamos seguir los siguientes pasos para mitigar el riesgo asociado:   

  • Establecer el principio de usuario con privilegios mínimos. 
  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet. 
  • Localizar las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial. 
  • Para acceso remoto, utilizar métodos seguros, como las redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que VPN es tan seguro como sus dispositivos conectados. 

Adicionalmente, recomendamos instalar las actualizaciones correspondientes que serán provistas por el fabricante: 

Referencias: 

Compartir: