Denegación de servicio en productos ABB
Fecha de publicación 04/04/2024
Importancia
4 - Alta
Recursos Afectados
- S+ Operations, las siguientes versiones y anteriores:
- 3.3 SP1 RU4;
- 2.1 SP2 RU3;
- 2.0 SP6 TC6.
- S+ Engineering, versiones desde 2.1 hasta 2.3 RU3.
- S+ Analyst, versiones desde 7.0.0.0 hasta 7.2.0.2 que usen Fast Data Logger.
Descripción
ABB ha identificado una vulnerabilidad, de severidad alta y tipo denegación de servicio, en la función ABB VPNI del componente S+ Control API que pueden utilizar varios productos Symphony Plus (por ejemplo, S+ Operations, S+ Engineering y S+ Analyst).
Solución
Actualizar a las siguientes versiones:
- S+ Operations:
- 3.3 SP1 RU5 o posteriores;
- 3.3.1 RU5 o posteriores.
- S+ Engineering, 2.4 o posteriores.
- S+ Analyst, 7.3 o posteriores.
Detalle
Si un atacante obtiene acceso a la red HMI de un sitio, la explotación de esta vulnerabilidad podría provocar una denegación de servicio (DoS) de la VPNI formateando el paquete del protocolo VPNI con algunos valores no válidos, lo que impediría la transferencia de datos desde/hacia los productos S+ afectados que utilicen la función para conectarse a la red HMI. Se ha asignado el identificador CVE-2024-0335 para esta vulnerabilidad.
Listado de referencias
