Múltiples vulnerabilidades en Chiller SK 3232-Series de Rittal
Fecha de publicación 25/10/2019
Importancia
5 - Crítica
Recursos Afectados
Interfaz web de Chiller SK 3232-Series basada en el firmware Carel pCOWeb A1.5.3 – B1.2.4.
Descripción
Applied Risk ha reportado varias vulnerabilidades, de tipo falta de autenticación en función crítica y uso de credenciales embebidas, en el producto Chiller SK 3232-Series de Rittal. La explotación exitosa de estas vulnerabilidades podría interrumpir las operaciones primarias del componente afectado, apagar el enfriamiento de otros equipos y permitir cambios en el punto de ajuste de temperatura.
Solución
Para obtener información sobre las mitigaciones de estas vulnerabilidades se recomienda contactar con el soporte de Rittal a través de la siguiente dirección de correo: anonym@incibe.es369.
Detalle
- El mecanismo de autenticación en los sistemas afectados no proporciona un nivel suficiente de protección contra cambios de configuración no autorizados. Las operaciones primarias, es decir, el encendido y apagado de la unidad de refrigeración y el ajuste del punto de ajuste de la temperatura, pueden modificarse sin necesidad de autenticación. Se ha reservado el identificador CVE-2019-13549 para esta vulnerabilidad.
- El mecanismo de autenticación en los sistemas afectados se configura utilizando credenciales embebidas. Estas credenciales podrían permitir a los atacantes influir en las operaciones primarias de los sistemas afectados, a saber, encender y apagar la unidad de refrigeración y establecer el punto de ajuste de temperatura. Se ha reservado el identificador CVE-2019-13553 para esta vulnerabilidad.
Listado de referencias
Etiquetas