Inicio / Content / Boletín de INCIBE-CERT del 21-01-2021

Boletín de INCIBE-CERT del 21-01-2021

Múltiples vulnerabilidades en Bosch Fire Monitoring System

Fecha de publicación: 
21/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Bosch FSM-2500, versiones 5.2 y anteriores;
  • Bosch FSM-5000, versiones 5.2 y anteriores.
Descripción: 

Durante la realización de pruebas internas del producto, Bosch detectó 2 vulnerabilidades, con severidad crítica y media, que afectan a las versiones 5.2 y anteriores de FSM (Fire Monitoring System).

Solución: 

Actualizar FSM a las versiones 5.6 o superiores.

Detalle: 
  • El uso de credenciales embebidas en la base de datos podría permitir a un atacante remoto, no autenticado, loguearse en la base de datos con privilegios de administrador. Esto podría dar lugar a un compromiso total de la confidencialidad e integridad de los datos almacenados, así como a un impacto de alta disponibilidad en la propia base de datos. Además, el atacante también podría ejecutar comandos arbitrarios en el sistema operativo subyacente. Se ha asignado el identificador CVE-2020-6779 para la vulnerabilidad con severidad crítica.
  • La utilización de credenciales poco seguras en la base de datos podría permitir a un atacante remoto, con privilegios de administrador, obtener las credenciales de otros usuarios y recuperar sus contraseñas en texto plano mediante ataques fuerza bruta del hash MD5. Se ha asignado el identificador CVE-2020-6780 para la vulnerabilidad con severidad media.

Encuesta valoración

Vulnerabilidad de denegación de servicio en AC500 V2 de ABB

Fecha de publicación: 
21/01/2021
Importancia: 
4 - Alta
Recursos afectados: 

Todos los productos AC500 V2 con interfaz ethernet.

Descripción: 

ABB ha informado de una vulnerabilidad en AC500 V2 que permitiría a un atacante causar una denegación de servicio. Después del bloqueo del dispositivo (ERR LED parpadea en rojo) se requiere un reinicio físico del dispositivo.

Solución: 

ABB ha publicado el firmware versión 2.8.5 que corrige esta vulnerabilidad en los siguientes modelos de PLC:

  • PM573-ETH
  • PM583-ETH

Para otros modelos de PLC afectados, ABB recomienda hasta la publicación de un nuevo firmware y limitar la exposición a través de redes no confiables o públicas.

Detalle: 

ABB ha informado de una vulnerabilidad que permitiría a un atacante, a través del envío de un paquete manipulado y no autenticado, causar una denegación de servicio en los PLC afectados, requiriendo después del bloqueo (ERR LED parpadea en rojo) un reinicio físico del mismo. Se ha asignado el identificador CVE-2020-24685 para esta vulnerabilidad.

Encuesta valoración