Inicio / Alerta Temprana / Avisos Sci / Escalada de privilegios en DataManagerPro de ABB

Escalada de privilegios en DataManagerPro de ABB

Fecha de publicación: 
18/08/2016
Importancia: 
4 - Alta
Recursos afectados: 

Los siguientes productos del fabricante se ven afectados:

  • DataManagerPro, todas las versiones de la 1.0.0 a la 1.7.0
Descripción: 

El investigador de seguridad Andrea Micalizzi (rgod) ha detectado una vulnerabilidad que permite la escalada de privilegios en el software DataManagerPro del fabricante ABB.

Solución: 

[ACTUALIZACIÓN 16/09/2016] ABB ha publicado la versión 1.7.1 del firmware del dispositivo que soluciona la vulnerabilidad.

Detalle: 

Esta vulnerabilidad permite que atacantes realicen un escalado de privilegios, pudiendo llegar a ser administradores del sistema. Para explotar esta vulnerabilidad, un atacante necesitaría un mínimo de privilegios con capacidad para ejecutar código.

La vulnerabilidad se da durante la instalación del producto DataManagerPro en los permisos que poseen algunos archivos. Las cuentas creadas poseen máximos privilegios en cierto directorio, este hecho, hace posible la sustitución de archivos permitiendo a los usuarios reemplazar código que posteriormente se ejecutará por el administrador del sistema.

[ACTUALIZACIÓN 16/09/2016] Se ha reservado el identificador CVE-2016-4526 para esta vulnerabilidad.