Introducción
Los investigadores Reid Wightman, de Dragos, y Diego Zaffaroni, de Nozomi Networks, han reportado al fabricante Johnson Controls 2 vulnerabilidades, una de ellas de severidad crítica, cuya explotación podría permitir a un atacante descifrar comunicaciones debido a una longitud de clave y un intercambio insuficientes, así como enviar una solicitud no autorizada o acceder a datos de un dominio no fiable.[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2024-32758 – Fortaleza de cifrado inadecuada (CWE-326):
En determinadas circunstancias, la comunicación entre el Cliente exacqVision y el Servidor exacqVision utilizará una longitud de clave e intercambio insuficientes. Esto podría ser empleado por un atacante para descifrar comunicaciones e incluso enviar una solicitud no autorizada.
- CVE-2024-32758 – Fortaleza de cifrado inadecuada (CWE-326):
- La serie de productos afectados es:
- Cliente y servidor exacqVision, todas las versiones.
- ExacqVision Web Service, Versión 22.12.1.0.
Recomendaciones
Actualizar los productos afectados a las versiones 24.06 o posteriores.
Referencias