Inicio / Content / Boletín de INCIBE-CERT del 30-10-2018

Boletín de INCIBE-CERT del 30-10-2018

Múltiples vulnerabilidades en M2M ETHERNET y CMS-770 de ABB

Fecha de publicación: 
30/10/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • M2M ETHERNET Network Analyzer, con firmware versión 2.22 y anteriores, Ethernet firmware versión 1.01 y anteriores.
  • CMS-770 Control Unit, versión 1.71 y anteriores.
  • Busch-EnergyMonitor, versión 1.71 y anteriores.
  • [Actualización 19/12/2018] Busch-Jaeger, versión 1.7.1 y anteriores.
Descripción: 

El investigador independiente Maxim Rupp, en colaboración con ABB, ha identificado múltiples vulnerabilidades del tipo autentificación incorrecta que afectan a los productos M2M ETHERNET y CMS-770 de ABB. Un potencial atacante podría cargar ficheros o leer la configuración de un dispositivo y hacerse con el control.

Solución: 

ABB ha actualizado los manuales de los productos afectados y recomienda que los usuarios sigan las instrucciones de actualización recomendadas. Por ahora no hay actualizaciones para los dispositivos afectados.

Detalle: 
  • Un atacante no autenticado podría cargar manualmente un archivo de idioma con expresiones no válidas. [Actualización 19/12/2018] Se ha reservado el identificador CVE-2018-17926 para esta vulnerabilidad.
  • Un atacante podría leer los archivos de configuración del dispositivo consiguiendo así credenciales con las que poder tomar el control del producto. [Actualización 19/12/2018] Se ha reservado el identificador CVE-2018-17928 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: