Vulnerabilidad en productos ABB

Fecha de publicación:

11/08/2017

Importancia:

5 - Crítica

Recursos afectados:

SREA-01 A, B, y C en sus versiones superiores a la 3.31.5
SREA-50 A en sus versiones supuerores a la 3.32.8

Descripción:

Los investigadores Bertin Jose y Fernandez Ezequiel han descubierto una vulnerabilidad en productos de la marca ABB. Un potencial atacante remoto podría utilizar esta vulnerabilidad para tener acceso a los sistemas de ficheros de los productos afectados, cambiar la configuración de los productos, obtener el “hash” de las contraseñas y enviar comandos a los dispositivos sin necesidad de autentificarse.

Solución:

ABB ha publicado una actualización con la que se soluciona la vulnerabilidad.

Detalle:

Un atacante podría utilizar una vulnerabilidad del tipo “Relative Tranversal Path” para acceder sin necesidad de autentificarse a los archivos alojados en los dispositivos usando una petición HTTP con rutas relativas utilizando ../../.Se ha reservado el identificador CVE-2017-9664 para esta vulnerabilidad.

Referencias:

ABB SREA-01 and SREA-50

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en productos ABB

Autorización inadecuada en Sequi PortBloque S

Cifrado débil en productos LS Electric

Múltiples vulnerabilidades en Softing Secure Integration Server

Múltiples vulnerabilidades en Emerson Proficy Machine Edition

Validación de entrada incorrecta en B&R Industrial Automation Automation Studio 4