Inicio / Content / Boletín de INCIBE-CERT del 28-10-2019

Boletín de INCIBE-CERT del 28-10-2019

Múltiples vulnerabilidades en productos de ABB

Fecha de publicación: 
28/10/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Relion 650 series, versión 2.1.0.2 y anteriores;
  • Relion 670 series, versión 2.1.0.2 y anteriores;
  • Relion 670 series, versión 1p1r26 y anteriores.
Descripción: 

Se han publicado múltiples vulnerabilidades del tipo denegación de servicio, exposición de información y acceso no autorizado a archivos que podrían permitir a un atacante obtener información sensible o causar la denegación de servicio.

Solución: 

Actualizar los productos afectados a la ultima versión. Para más información consultar la sección de referencias.

Detalle: 

Un atacante que aprovechara alguna de las vulnerabilidades descritas en este aviso, podría llegar a realizar alguna de las siguientes acciones:

  • denegación de servicio,
  • divulgación de información,
  • recuperar cualquier archivo de la unidad flash.

Se han asignado los identificadores: CVE-2016-2109, CVE-2016-2177, CVE-2016-2178, CVE-2016-2182, CVE-2016-2183, CVE-2016-6304, CVE-2016-6306, CVE-2017-3737, CVE-2018-0739, CVE-2018-0737, CVE-2018-0732, CVE-2019-18253 y CVE-2019-18247.

Encuesta valoración

Acceso no autorizado a redes adyacentes en productos FL NAT de Phoenix Contact

Fecha de publicación: 
28/10/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • FL NAT 2208;
  • FL NAT 2304-2GC-2SFP.
Descripción: 

Phoenix Contact ha descubierto una vulnerabilidad de criticidad alta en dispositivos FL NAT. Un atacante podría obtener acceso no autorizado a subredes adyacentes al dispositivo.

Solución: 

Phoenix Contact publicará una actualización de firmware (V2.90) en el Q2 de 2020 solucionando dicha vulnerabilidad.

Detalle: 

La vulnerabilidad es posible si las seguridades basadas en puerto MAC o 802.1x se encuentran activadas. Los dispositivos afectados podrían permitir el acceso no autorizado a subredes adyacentes, en el caso de que se haga una transmisión enrutada. Un atacante podría obtener acceso no autorizado a subredes adyacentes al dispositivo. Se ha reservado el identificador CVE-2019-18352 para esta vulnerabilidad.

Encuesta valoración