Vulnerabilidad en productos ABB

Fecha de publicación:

11/08/2017

Importancia:

5 - Crítica

Recursos afectados:

SREA-01 A, B, y C en sus versiones superiores a la 3.31.5
SREA-50 A en sus versiones supuerores a la 3.32.8

Descripción:

Los investigadores Bertin Jose y Fernandez Ezequiel han descubierto una vulnerabilidad en productos de la marca ABB. Un potencial atacante remoto podría utilizar esta vulnerabilidad para tener acceso a los sistemas de ficheros de los productos afectados, cambiar la configuración de los productos, obtener el “hash” de las contraseñas y enviar comandos a los dispositivos sin necesidad de autentificarse.

Solución:

ABB ha publicado una actualización con la que se soluciona la vulnerabilidad.

Detalle:

Un atacante podría utilizar una vulnerabilidad del tipo “Relative Tranversal Path” para acceder sin necesidad de autentificarse a los archivos alojados en los dispositivos usando una petición HTTP con rutas relativas utilizando ../../.Se ha reservado el identificador CVE-2017-9664 para esta vulnerabilidad.

Referencias:

ABB SREA-01 and SREA-50

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en productos ABB

Múltiples vulnerabilidades en Defibrillator Dashboard de ZOLL

Múltiples vulnerabilidades en Web Server Plugin de AGG Software

Omisión de políticas de seguridad en FactoryTalk Services Platform de Rockwell Automation

Múltiples vulnerabilidades en las cámaras IP de Bosch

Limpieza incompleta en Sentinel LDK RTE de Thales