Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Los dispositivos de monitorización de sistemas solares VSN300 WiFi Logger Card de ABB en sus versiones:

VSN300 WiFi Logger Card versiones 1.8.15 y anteriores
VSN300 WiFi Logger Card for React versiones 2.1.3 y anteriores

Descripción:

El investigador Maxim Rupp ha identificado una vulnerabilidad de control de acceso inadecuado en los dispositivos VSN300 WiFi Logger Card de ABB. Un potencial atacante remoto podría acceder a información privilegiada sin autorización.

Solución:

El fabricante ABB recomienda una actualización de firmware a la versión 1.9.0 o posterior para VSN300 WiFi Logger Card, y una versión 2.2.5 o posterior VSN300 WiFi Logger Card for React, para corregir estas vulnerabilidades.

Detalle:

Una solicitud a un recurso específico URL, hacia el servidor web, permite a un potencial atacante extraer información interna sobre los dispositivos conectados y su estado, sin autorización. Se ha asignado el identificador CVE-2017-7920 para esta vulnerabilidad.
La aplicación web no controla de una forma adecuada los permisos del usuario "Guest". Un potencial atacante podría tener acceso a información sobre configuración, que debería estar restringida para este usuario. Se ha asignado el identificador CVE-2017-7916 para esta vulnerabilidad.

Referencias:

ABB VSN300 WiFi Logger Card

Improper Authentication, Permission, Privileges and Access Controls in VSN300 Wi - Fi Logger Card (standard and for React)

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric

Múltiples vulnerabilidades en productos CODESYS