Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Los dispositivos de monitorización de sistemas solares VSN300 WiFi Logger Card de ABB en sus versiones:

VSN300 WiFi Logger Card versiones 1.8.15 y anteriores
VSN300 WiFi Logger Card for React versiones 2.1.3 y anteriores

Descripción:

El investigador Maxim Rupp ha identificado una vulnerabilidad de control de acceso inadecuado en los dispositivos VSN300 WiFi Logger Card de ABB. Un potencial atacante remoto podría acceder a información privilegiada sin autorización.

Solución:

El fabricante ABB recomienda una actualización de firmware a la versión 1.9.0 o posterior para VSN300 WiFi Logger Card, y una versión 2.2.5 o posterior VSN300 WiFi Logger Card for React, para corregir estas vulnerabilidades.

Detalle:

Una solicitud a un recurso específico URL, hacia el servidor web, permite a un potencial atacante extraer información interna sobre los dispositivos conectados y su estado, sin autorización. Se ha asignado el identificador CVE-2017-7920 para esta vulnerabilidad.
La aplicación web no controla de una forma adecuada los permisos del usuario "Guest". Un potencial atacante podría tener acceso a información sobre configuración, que debería estar restringida para este usuario. Se ha asignado el identificador CVE-2017-7916 para esta vulnerabilidad.

Referencias:

ABB VSN300 WiFi Logger Card

Improper Authentication, Permission, Privileges and Access Controls in VSN300 Wi - Fi Logger Card (standard and for React)

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Múltiples vulnerabilidades en productos de Eaton

Múltiples vulnerabilidades en el portal web de OpenClinic GA

Asignación incorrecta de permisos para recursos críticos en WebAccess/SCADA de Advantech

Liberación incorrecta de recursos en productos TOYOPUC de JTEKT Corporation

Múltiples vulnerabilidades en productos Schneider Electric