Evasión de autenticación en controladores KT-1 de Johnson Controls

Fecha de publicación 15/09/2021

Importancia

4 - Alta

Recursos Afectados

Controlador de acceso KT-1, versión 3.01 y anteriores.

Descripción

Los investigadores Dave Burke, Anthony Connor y Harrison Spisak, han reportado a Johnson Controls una vulnerabilidad de severidad alta que podría permitir a un atacante remoto realizar ataques de repetición o de man in the middle.

Solución

Actualizar KT-1 a su versión 3.04 y EntraPass a su versión 8.40.

Detalle

En determinadas circunstancias, el controlador es susceptible a ataques del tipo replay o man in the middle. Se ha asignado el identificador CVE-2021-27662 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-21-257-02) Johnson Controls Sensormatic Electronics KT-1

Product Security Advisory JCI‐PSA‐2021‐14

Etiquetas

Actualización
IoT
Vulnerabilidad