Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Chiller SK 3232-Series de Rittal

Fecha de publicación 25/10/2019
Importancia
5 - Crítica
Recursos Afectados

Interfaz web de Chiller SK 3232-Series basada en el firmware Carel pCOWeb A1.5.3 – B1.2.4.

Descripción

Applied Risk ha reportado varias vulnerabilidades, de tipo falta de autenticación en función crítica y uso de credenciales embebidas, en el producto Chiller SK 3232-Series de Rittal. La explotación exitosa de estas vulnerabilidades podría interrumpir las operaciones primarias del componente afectado, apagar el enfriamiento de otros equipos y permitir cambios en el punto de ajuste de temperatura.

Solución

Para obtener información sobre las mitigaciones de estas vulnerabilidades se recomienda contactar con el soporte de Rittal a través de la siguiente dirección de correo: anonym@incibe.es369.

Detalle
  • El mecanismo de autenticación en los sistemas afectados no proporciona un nivel suficiente de protección contra cambios de configuración no autorizados. Las operaciones primarias, es decir, el encendido y apagado de la unidad de refrigeración y el ajuste del punto de ajuste de la temperatura, pueden modificarse sin necesidad de autenticación. Se ha reservado el identificador CVE-2019-13549 para esta vulnerabilidad.
  • El mecanismo de autenticación en los sistemas afectados se configura utilizando credenciales embebidas. Estas credenciales podrían permitir a los atacantes influir en las operaciones primarias de los sistemas afectados, a saber, encender y apagar la unidad de refrigeración y establecer el punto de ajuste de temperatura. Se ha reservado el identificador CVE-2019-13553 para esta vulnerabilidad.

Encuesta valoración