Maxim
Rupp ha reportado múltiples vulnerabilidades
en todas las versiones de Honeywell
Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir restricciones de seguridad y realizar
ataques de cross-site request forgery (CSRF).
Tuxedo Touch de Honeywell es un
controlador que integra la automatización de la vivienda y la empresa. Ofrece
la capacidad de utilizar control de voz, permitiendo una serie de tareas, como
por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las
puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de
seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas
por video y correo electrónico activadas por eventos de forma remota.
Los errores se detallan a
continuación:
- CVE-2015-2847: En el que debido
a un error de autenticación en la interfaz web (usa JavaScript), un atacante
remoto podría eludir restricciones de seguridad a través de la interceptación y
anulación de peticiones de tipo 'USERACCT'.
- CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller.
Todas las versiones anteriores a
5.2.19.0 se encuentran afectadas.
El fabricante ha publicado una
nueva versión de firmware que soluciona estas vulnerabilidades.
Más información:
Tuxedo Touch
Vulnerability Note VU#857948
Honeywell Tuxedo Touch Controller contains
multiple vulnerabilities
una-al-dia (21/10/2013) No te
dejes engañar por las vulnerabilidades leves (y II)
Juan Sánchez
No hay comentarios:
Publicar un comentario