Maxim
Rupp ha reportado múltiples vulnerabilidades en todas las versiones de
Honeywell Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir
restricciones de seguridad y realizar ataques de cross-site request forgery
(CSRF).
Tuxedo Touch de Honeywell es un controlador que integra la automatización de la vivienda y la empresa. Ofrece la capacidad de utilizar control de voz, permitiendo una serie de tareas, como por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas por video y correo electrónico activadas por eventos de forma remota.
Los errores se detallan a continuación:
- CVE-2015-2847: En el que debido a un error de autenticación en la interfaz web (usa JavaScript), un atacante remoto podría eludir restricciones de seguridad a través de la interceptación y anulación de peticiones de tipo 'USERACCT'.
- CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller.
Recursos afectados
- Todas las versiones anteriores a 5.2.19.0 se encuentran afectadas.
Recomendación
- El fabricante ha publicado una nueva versión de firmware que soluciona estas vulnerabilidades. http://www.tuxedotouchtoolkit.com/software-downloads/tuxedo-touch/index.html
Más información:
- Tuxedo Touch http://www.tuxedotouchtoolkit.com/
- Vulnerability Note VU#857948 Honeywell Tuxedo Touch Controller contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/857948
