2022] Múltiples vulnerabilidades en productos ABB

Fecha de publicación 01/08/2022

Importancia

4 - Alta

Recursos Afectados

Zenon, versión 8.20 y anteriores.

[Actualización 30/11/2022]

ZEE600 todas las versiones anteriores a 2.0.1;
ZEE600C todas las versiones anteriores a 2.0.

Descripción

Se han publicado múltiples vulnerabilidades que podrían permitir a un atacante registrar mensajes adicionales y acceder a archivos del sistema Zenon.

Solución

Actualizar lo antes posible, mientras tanto pueden seguirse las siguientes medidas de mitigación:

utilizar las reglas del cortafuegos del sistema Zenon para permitir el acceso sólo a los clientes requeridos;
los usuarios deben elegir contraseñas complejas para la contraseña de la red y la contraseña de la base de datos de ingeniería;
se recomienda que el entorno operativo esté separado del editor de proyectos de Zenon. Esto permite un mejor control de los cambios aplicados y reduce el riesgo de acceso a la base de datos de ingeniería;
consulte la guía de seguridad de Zenon para obtener más consejos sobre cómo mantener la seguridad del sistema;
considere la posibilidad de iniciar los puestos de trabajo de los operadores de Zenon en modo quiosco para evitar el acceso de los usuarios al escritorio WIN.

[Actualización 30/11/2022]

Zenon, actualizar a la versión 8.20 (104000) o superior;
ZEE600 actualizar a la versión 8.20 (104000);
ZEE600C actualizar a la versión 8.20 (104000).

Detalle

La contraseña de la base de datos SQL, de la herramienta de configuración de Zenon, puede extraerse en texto plano con un programa especial cuando se conoce el algoritmo. Se ha asignado el identificador CVE-2022-34838 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades, de severidad media, se han asignado los identificadores: CVE-2022-34836 y CVE-2022-34837.