Múltiples vulnerabilidades en EIBPORT de ABB
Fecha de publicación 08/09/2021
Importancia
5 - Crítica
Recursos Afectados
Versiones 3.8.3 y anteriores de:
- EIBPORT V3 KNX,
- EIBPORT V3 KNX GSM,
- EIBPORT V3 KNX,
- EIBPORT V3 KNX GSM,
- EIBPORT V3 KNX,
- EIBPORT V3 KNX GSM,
- EIBPORT V3 KNX,
- EIBPORT V3 KNX EnOcean,
- EIBPORT V3 KNX,
- EIBPORT V3 KNX.
Descripción
Un investigador anónimo ha reportado 6 vulnerabilidades a ABB, 3 de severidad crítica, 1 alta y 2 medias. Un atacante que explotase con éxito estas vulnerabilidades podría acceder a la información sensible almacenada en el dispositivo y también acceder al dispositivo con privilegios de root.
Solución
Actualizar EIBPORT a la versión de firmware 3.9.1.
Detalle
- La vulnerabilidad podría permitir un ataque de fuerza bruta al servicio de inicio de sesión. La contraseña podría ser débil y el nombre de usuario por defecto es conocido como admin. Se ha asignado el identificador CVE-2021-28909 para esta vulnerabilidad crítica.
- La vulnerabilidad podría permitir a un atacante no autenticado acceder a algunos datos sensibles apoyando el ataque de fuerza bruta. Se ha asignado el identificador CVE-2021-28911 para esta vulnerabilidad crítica.
- La vulnerabilidad podría permitir a un atacante obtener una credencial de seguridad específica para el dispositivo. Se ha asignado el identificador CVE-2021-28913 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-28910, CVE-2021-28912 y CVE-2021-28914.
Listado de referencias
Etiquetas