Pérdida de acceso a dispositivos de KNX Association
Todas las versiones de los dispositivos KNX que utilicen Connection Authorization Option 1 Style donde ninguna clave BCU está configurada.
Felix Eberstaller ha reportado una vulnerabilidad de severidad alta en productos de KNX Association, cuya explotación podría provocar la pérdida del acceso para los usuarios, impidiendo además el reseteo del dispositivo.
KNX Association recomienda a todos los integradores de sistemas, instaladores, usuarios de ETS (Engineering Tool Software) y clientes finales que sigan las pautas comunes de seguridad y las recomendaciones de la lista de verificación segura.
Asimismo, recomienda a los desarrolladores configurar siempre la clave BCU en cada proyecto KNX que ya esté terminado.
Los dispositivos KNX que utilizan KNX Connection Authorization y soportan Option 1 son, dependiendo de la implementación, vulnerables a ser bloqueados y a que los usuarios no puedan restablecerlos para acceder al dispositivo. Si el dispositivo está configurado para interactuar con una red, un atacante con acceso a esa red podría interactuar con la instalación KNX, purgar todos los dispositivos sin opciones de seguridad adicionales habilitadas, y establecer una clave BCU, bloqueando el dispositivo. Se ha asignado el identificador CVE-2023-4346 para esta vulnerabilidad.
