Múltiples vulnerabilidades en M2M ETHERNET y CMS-770 de ABB

Fecha de publicación 30/10/2018
Importancia
4 - Alta
Recursos Afectados
  • M2M ETHERNET Network Analyzer, con firmware versión 2.22 y anteriores, Ethernet firmware versión 1.01 y anteriores.
  • CMS-770 Control Unit, versión 1.71 y anteriores.
  • Busch-EnergyMonitor, versión 1.71 y anteriores.
  • [Actualización 19/12/2018] Busch-Jaeger, versión 1.7.1 y anteriores.
Descripción

El investigador independiente Maxim Rupp, en colaboración con ABB, ha identificado múltiples vulnerabilidades del tipo autentificación incorrecta que afectan a los productos M2M ETHERNET y CMS-770 de ABB. Un potencial atacante podría cargar ficheros o leer la configuración de un dispositivo y hacerse con el control.

Solución

ABB ha actualizado los manuales de los productos afectados y recomienda que los usuarios sigan las instrucciones de actualización recomendadas. Por ahora no hay actualizaciones para los dispositivos afectados.

Detalle
  • Un atacante no autenticado podría cargar manualmente un archivo de idioma con expresiones no válidas. [Actualización 19/12/2018] Se ha reservado el identificador CVE-2018-17926 para esta vulnerabilidad.
  • Un atacante podría leer los archivos de configuración del dispositivo consiguiendo así credenciales con las que poder tomar el control del producto. [Actualización 19/12/2018] Se ha reservado el identificador CVE-2018-17928 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
M2M Ethernet Vulnerability
CMS - 770 Vulnerability
[Actualización 19/12/2018] Advisory (ICSA-18-352-06) ABB CMS-770
[Actualización 19/12/2018] Advisory (ICSA-18-352-07) ABB M2M ETHERNET
Etiquetas