Múltiples vulnerabilidades en dispositivos FLXeon de ABB
Los siguientes productos de la serie Cylon FLXeon, con versión de firmware 9.3.4 o anterior, están afectados:
- modelos FBXi:
- FBXi-8R8-X96
- FBXi-8R8-H-X96
- FBXi-X256
- FBXi-X48
- modelos FBVi:
- FBVi-2U4-4T No Actuator/Strategy
- FBVi-2U4-4T-IMP
- FBVi-2U4-4T-IMP
- modelos FBTi:
- FBTi-7T7-1U1R (Generic - No Strategy)
- FBTi-6T1-1U1R (Generic - No Strategy)
- modelos CBXi:
- CBXi-8R8
- CBXi-8R8-H
Gjoko Krstik, de Zero Science Lab, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante podría tomar el control remoto del producto.
Las vulnerabilidades reportadas se han solucionado en la versión de firmware 9.3.5.
ABB recomienda que los dispositivos FLXeon no estén expuestos a Internet ni a ninguna otra red insegura.
ABB ha tenido conocimiento de la existencia de 3 vulnerabilidades en dispositivos de la serie Cylon FLXeon, los cuales no están diseñados para conectarse a Internet. La explotación de estas vulnerabilidades, podría permitir a un atacante tomar el control remoto del producto y potencialmente insertar y ejecutar código arbitrario.
La relación de identificadores asignados y descripción para las vulnerabilidades reportadas es la siguiente:
- CVE-2024-48841: el acceso a la red puede utilizarse para ejecutar código arbitrario con privilegios elevados (CWE-98).
- CVE-2024-48849: la gestión de sesiones no es suficiente para evitar peticiones HTTPS no autorizadas. (CWE-1385).
- CVE-2024-48852: Cierta información puede divulgarse indebidamente a través del acceso HTTPS (CWE-532).