Múltiples vulnerabilidades en EIBPORT de ABB

Fecha de publicación 08/09/2021
Importancia
5 - Crítica
Recursos Afectados

Versiones 3.8.3 y anteriores de:

  • EIBPORT V3 KNX,
  • EIBPORT V3 KNX GSM,
  • EIBPORT V3 KNX,
  • EIBPORT V3 KNX GSM,
  • EIBPORT V3 KNX,
  • EIBPORT V3 KNX GSM,
  • EIBPORT V3 KNX,
  • EIBPORT V3 KNX EnOcean,
  • EIBPORT V3 KNX,
  • EIBPORT V3 KNX.
Descripción

Un investigador anónimo ha reportado 6 vulnerabilidades a ABB, 3 de severidad crítica, 1 alta y 2 medias. Un atacante que explotase con éxito estas vulnerabilidades podría acceder a la información sensible almacenada en el dispositivo y también acceder al dispositivo con privilegios de root.

Solución

Actualizar EIBPORT a la versión de firmware 3.9.1.

Detalle
  • La vulnerabilidad podría permitir un ataque de fuerza bruta al servicio de inicio de sesión. La contraseña podría ser débil y el nombre de usuario por defecto es conocido como admin. Se ha asignado el identificador CVE-2021-28909 para esta vulnerabilidad crítica.
  • La vulnerabilidad podría permitir a un atacante no autenticado acceder a algunos datos sensibles apoyando el ataque de fuerza bruta. Se ha asignado el identificador CVE-2021-28911 para esta vulnerabilidad crítica.
  • La vulnerabilidad podría permitir a un atacante obtener una credencial de seguridad específica para el dispositivo. Se ha asignado el identificador CVE-2021-28913 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-28910, CVE-2021-28912 y CVE-2021-28914.

Encuesta valoración

Listado de referencias
EIBPORT several CVEs ABBVREP0049_R9120
Etiquetas