Cabecera-v2-web.jpg

Vulnerabilidad en Metasys de Johnson Controls Inc.


09/05/2022

Johnson Controls ha reportado esta vulnerabilidad de severidad alta, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y obtener el control de sus cuentas.


La vulnerabilidad identificada como CVE-2022-21934 de severidad alta, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a un cambio de contraseña en servidores ADS/ADX/OEA de Metasys. Un atacante autenticado podría explotar esta vulnerabilidad para bloquear a otros usuarios fuera del sistema y obtener el control de sus cuentas.

Las versiones afectadas son:

  • Servidores Metasys ADS/ADX/OEA, versiones 10 y 11.

Recomendamos seguir los siguientes pasos para mitigar el riesgo asociado:

  • Establecer el principio de usuario con privilegios mínimos.
  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet.
  • Localizar las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial.
  • Para acceso remoto, utilizar métodos seguros, como las redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que VPN es tan seguro como sus dispositivos conectados.

Adicionalmente, recomendamos instalar las actualizaciones correspondientes que serán provistas por el fabricante:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11