CVE-2022-30312

Controladores lógicos programáveis Honeywell em versões anteriores à versão corrigida

Versões do protocolo IC da Trend Controls anteriores a 06/05/2022

O problema está relacionado à transmissão de informações confidenciais, incluindo códigos PIN, nomes de usuário e senhas, em texto simples. Isso permite que um invasor com capacidade de interceptação passiva obtenha essas credenciais. O protocolo afetado é utilizado para troca de informações e fins de automação em controladores de automação predial. Um invasor que obtenha as credenciais pode realizar ações de engenharia confidenciais, como manipular a estratégia do controlador ou as configurações. Se as credenciais comprometidas forem reutilizadas para outras aplicações, isso poderia facilitar o movimento lateral.

Para controladores lógicos programáveis da Honeywell, atualize para uma versão que corrija o problema de transmissão em texto simples.

Para o protocolo IC da Trend Controls, atualize para uma versão lançada após 06/05/2022 para resolver a transmissão em texto simples de credenciais.

Como solução alternativa temporária, considere restringir o acesso ao protocolo Inter-Controller (IC) para minimizar o risco de exploração.

Evite usar os parâmetros username e password no endpoint da API afetado até que o problema seja resolvido.

Restrinja o acesso ao protocolo Inter-Controller (IC) para minimizar o risco de exploração.