Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en dispositivos FLXeon de ABB

Fecha de publicación 28/01/2025
Identificador
INCIBE-2025-0038
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos de la serie Cylon FLXeon, con versión de firmware 9.3.4 o anterior, están afectados:

  • modelos FBXi:
    • FBXi-8R8-X96
    • FBXi-8R8-H-X96
    • FBXi-X256
    • FBXi-X48
  • modelos FBVi:
    • FBVi-2U4-4T No Actuator/Strategy
    • FBVi-2U4-4T-IMP
    • FBVi-2U4-4T-IMP
  • modelos FBTi:
    • FBTi-7T7-1U1R (Generic - No Strategy)
    • FBTi-6T1-1U1R (Generic - No Strategy)
  • modelos CBXi:
    • CBXi-8R8
    • CBXi-8R8-H
Descripción

Gjoko Krstik, de Zero Science Lab, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante podría tomar el control remoto del producto.

Solución

Las vulnerabilidades reportadas se han solucionado en la versión de firmware 9.3.5.

ABB recomienda que los dispositivos FLXeon no estén expuestos a Internet ni a ninguna otra red insegura.

Detalle

ABB ha tenido conocimiento de la existencia de 3 vulnerabilidades en dispositivos de la serie Cylon FLXeon, los cuales no están diseñados para conectarse a Internet. La explotación de estas vulnerabilidades, podría permitir a un atacante tomar el control remoto del producto y potencialmente insertar y ejecutar código arbitrario.

La relación de identificadores asignados y descripción para las vulnerabilidades reportadas es la siguiente:

  • CVE-2024-48841: el acceso a la red puede utilizarse para ejecutar código arbitrario con privilegios elevados (CWE-98).
  • CVE-2024-48849: la gestión de sesiones no es suficiente para evitar peticiones HTTPS no autorizadas. (CWE-1385).
  • CVE-2024-48852: Cierta información puede divulgarse indebidamente a través del acceso HTTPS (CWE-532).