С помощью уязвимости злоумышленник может перехватить контроль над операционной системой устройства и выполнить код.
В системе управления Delta Controls enteliBUS выявлена критическая уязвимость, с помощью которой злоумышленник, находящийся в той же сети, может перехватить контроль над операционной системой устройства и выполнить произвольный код.
Проблема затрагивает следующие решения: enteliBUS Manager (версия прошивки 3.40 R5, сборка 571848 и ниже), enteliBUS Manager Touch (eBMGR-TCH) с версией прошивки 3.40 R5 (сборка 571848 и ниже), enteliBUS Controller (eBCON) с версией прошивки 3.40 R5 (сборка 571848 и ниже)
Баг (CVE-2019-9569) представляет собой уязвимость переполнения буфера, связанную с отсутствием проверки входных данных. Степень ее опасности оценена в 9,8 балла по шкале CVSS v3.
Пользователям всех уязвимых решений рекомендуется обновиться с версии enteliBUS 3.40 до 3.40 R6 (сборка 612850). Помимо обновления прошивки, для обеспечения безопасности производитель рекомендует отключить контроллеры для систем автоматизации зданий от интернета, при необходимости удаленного подключения использовать VPN, а также регулярно пересматривать список пользователей, обладающих правом доступа к системам и контроллерам.
Система управления enteliBUS – полностью программируемая BACnet платформа управления.
Подробнее: https://www.securitylab.ru/news/500666.php