Posted on by Industriales CSIRT-CV

[SCI] Vulnerabilidad crítica en productos Johnson Controls

Introducción

Jim Reprogle reportó esta vulnerabilidad crítica a  Johnson Controls que podría permitir a un usuario no autorizado acceder a funciones de depuración que fueron expuestas accidentalmente.[1]

Análisis

La vulnerabilidad de severidad crítica asociada a los productos Johnson Controls Quantum afectados es la siguiente:

    • CVE-2023-4804: Código de depuración activo (CWE-489).

Los productos de Johnson Controls podrían permitir que un usuario sin autorización accediese a funciones de depuración que se expusieran accidentalmente.

Productos afectados:

      • Quantum HD Unity Compressor control panels (Q5): Todas las versiones anteriores a v11.22
      • Quantum HD Unity Compressor control panels (Q6): Todas las versiones anteriores a v12.22
      • Quantum HD Unity AcuAir control panels(Q5): Todas las versiones anteriores a v11.12
      • Quantum HD Unity AcuAir control panels(Q6): Todas las versiones anteriores a v12.12
      • Quantum HD Unity Condenser/Vessel control panels (Q5): Todas las versiones anteriores a v11.11
      • Quantum HD Unity Condenser/Vessel control panels (Q6): Todas las versiones anteriores a v12.11
      • Quantum HD Unity Evaporator control panels (Q5): Todas las versiones anteriores a v11.11
      • Quantum HD Unity Evaporator control panels (Q6): Todas las versiones anteriores a v12.11
      • Quantum HD Unity Engine Room control panels (Q5): Todas las versiones anteriores a v11.11
      • Quantum HD Unity Engine Room control panels (Q6): Todas las versiones anteriores a v12.11
      • Quantum HD Unity Interface control panels (Q5): Todas las versiones anteriores a v11.11
      • Quantum HD Unity Interface control panels (Q6): Todas las versiones anteriores a v12.11

Recomendaciones

Johnson Controls recomienda a los usuarios actualizar los productos a las últimas versiones:

    • Actualizar Quantum HD Unity Compressor control panels a la versión 11.22 (Q5) o 12.22 (Q6).
    • Actualizar Quantum HD Unity AcuAir control panels a la versión 11.12 (Q5) o 12.12 (Q6).
    • Actualizar Quantum HD Unity Condenser/Vessel control panels a la versión 11.11 (Q5) o 12.11 (Q6).
    • Actualizar Quantum HD Unity Evaporator control panels a la versión 11.11 (Q5) o 12.11 (Q6).
    • Actualizar Quantum HD Unity Engine Room control panels a la versión 11.11 (Q5) o 12.11 (Q6).
    • Actualizar Quantum HD Unity Interface control panels a la versión 11.11 (Q5) o 12.11 (Q6).

Referencias

[1] ICS ADVISORY – Johnson Controls Quantum HD Unity