Vulnerabilidad en productos ABB

Fecha de publicación:

11/08/2017

Importancia:

5 - Crítica

Recursos afectados:

SREA-01 A, B, y C en sus versiones superiores a la 3.31.5
SREA-50 A en sus versiones supuerores a la 3.32.8

Descripción:

Los investigadores Bertin Jose y Fernandez Ezequiel han descubierto una vulnerabilidad en productos de la marca ABB. Un potencial atacante remoto podría utilizar esta vulnerabilidad para tener acceso a los sistemas de ficheros de los productos afectados, cambiar la configuración de los productos, obtener el “hash” de las contraseñas y enviar comandos a los dispositivos sin necesidad de autentificarse.

Solución:

ABB ha publicado una actualización con la que se soluciona la vulnerabilidad.

Detalle:

Un atacante podría utilizar una vulnerabilidad del tipo “Relative Tranversal Path” para acceder sin necesidad de autentificarse a los archivos alojados en los dispositivos usando una petición HTTP con rutas relativas utilizando ../../.Se ha reservado el identificador CVE-2017-9664 para esta vulnerabilidad.

Referencias:

ABB SREA-01 and SREA-50

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en productos ABB

Consumo incontrolado de recursos en controladores MELFA de Mitsubishi Electric

Múltiples vulnerabilidades en OPC UA Tunneller de Matrikon

Múltiples vulnerabilidades en varios productos de Delta Electronics

Vulnerabilidad de denegación de servicio en AC500 V2 de ABB

Múltiples vulnerabilidades en Bosch Fire Monitoring System