Maxim Rupp ha reportado múltiples vulnerabilidadesen todas las versiones de Honeywell Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir restricciones de seguridad y realizar ataques de cross-site request forgery (CSRF).
Tuxedo Touch de Honeywell es un controlador que integra la automatización de la vivienda y la empresa. Ofrece la capacidad de utilizar control de voz, permitiendo una serie de tareas, como por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas por video y correo electrónico activadas por eventos de forma remota.
Los errores se detallan a continuación:
- CVE-2015-2847: En el que debido a un error de autenticación en la interfaz web (usa JavaScript), un atacante remoto podría eludir restricciones de seguridad a través de la interceptación y anulación de peticiones de tipo ‘USERACCT‘.
- CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller.
Todas las versiones anteriores a 5.2.19.0 se encuentran afectadas.
El fabricante ha publicado una nueva versión de firmware que soluciona estas vulnerabilidades.
Más información:
Tuxedo Touch
Vulnerability Note VU#857948
Honeywell Tuxedo Touch Controller contains multiple vulnerabilities
una-al-dia (21/10/2013) No te dejes engañar por las vulnerabilidades leves (y II)
Juan Sánchez
Deja una respuesta