Vulnerabilidad en Niagara de Tridium

Fecha de publicación 12/08/2020
Importancia
3 - Media
Recursos Afectados
  • Niagara: versiones 4.6.96.28, 4.7.109.20, 4.7.110.32 y 4.8.0.110,
  • Niagara Enterprise Security: versiones 2.4.31, 2.4.45 y 4.8.0.35.

[Actualización 20/08/2020]

  • ILC 2050 BI 2403160, versiones de firmware hasta la versión 1.3.0 incluida;
  • ILC 2050 BI-L 2404671, versiones de firmware hasta la versión 1.3.0 incluida;
  • Emalytics Automation Workbench N4, versiones de firmware hasta la versión 1.3.0 incluida.
Descripción

Tridium ha informado de una vulnerabilidad en equipos Niagara mediante la cual un atacante podría provocar un agotamiento de recursos.

Solución

Tridium ha publicado las siguientes actualizaciones:

  • Niágara: 4.9.0.198,
  • Niagara Enterprise Security: 4.9.0.60.

Las actualizaciones están disponibles poniéndose en contacto con el canal de soporte del equipo de Tridium.

[Actualización 20/08/2020]

Esta vulnerabilidad se solucionará en la versión de firmware 1.4.0 de Emalytics Automation, que se espera esté disponible en octubre de 2020.

Detalle

La vulnerabilidad detectada se produce por un agotamiento del tiempo de espera durante un protocolo de enlace TLS provocando que la conexión no termine. Esto hace que Niagara se cuelgue y requiera un reinicio manual para corregirlo.

Se ha reservado el identificador CVE-2020-14483 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICSA-20-224-03: Tridium Niagara
[Actualización 20/08/2020] Security Advisory for Emalytics, ILC 2050 BI and ILC 2050 BI-L
[Actualización 20/08/2020] PHOENIX CONTACT: Denial-of-Service vulnerability in Emalytics, ILC 2050 BI and ILC 2050 BI-L
Etiquetas