Introducció
Els investigadors Reid Wightman, de Dragos, i Diego Zaffaroni, de Nozomi Networks, han reportat al fabricant Johnson Controls 2 vulnerabilitats, una d’elles de severitat crítica, l’explotació de la qual podria permetre a un atacant desxifrar comunicacions a causa d’una longitud de clau i un intercanvi insuficients, així com enviar una sol·licitud no autoritzada o accedir a dades d’un domini no fiable.[1]
Anàlisi
La vulnerabilitat crítica trobada és la següent:
- CVE-2024-32758 – Fortalesa de xifratge inadequada (CWE-326):
En determinades circumstàncies, la comunicació entre el Client exacqVision i el Servidor exacqVision utilitzarà una longitud de clau i intercanvi insuficients. Això podria ser emprat per un atacant per a desxifrar comunicacions i fins i tot enviar una sol·licitud no autoritzada.
- CVE-2024-32758 – Fortalesa de xifratge inadequada (CWE-326):
- La sèrie de productes afectats és:
- Client i servidor exacqVision, totes les versions.
- ExacqVision Web Service, Versió 22.12.1.0.
Recomanacions
Actualitzar els productes afectats a les versions 24.06 o posteriors.
Referències