Múltiples vulnerabilidades en productos ABB
Los siguientes productos están afectados:
- Los siguientes productos con una versión 2.9.0.1 y anteriores:
- Drive Composer entry;
- Drive Composer pro.
- Los siguientes productos con una versión de firmware 3.08.03 o anterior:
- ASPECT®- Enterprise - ASP-ENT-x;
- NEXUS Series - NEX-2x y NEXUS-3-x;
- MATRIX Series - MAT-x.
La relación de versiones afectadas puede consultarse en las referencias.
Estas vulnerabilidades podrían permitir un acceso, no autorizado, al sistema operativo y al sistema de archivos y, por tanto, provocar una ejecución de código arbitrario, fuga de datos o, incluso, comprometer el sistema por completo.
Para los productos Drive Composer, se recomienda actualizar a la última versión disponible, que soluciona este problema.
Para el resto de productos, actualmente no existe un parche que solucione el problema, sin embargo, se recomienda que el producto no esté expuesto de forma directa a Internet-ni por una conexión ISP directa, ni por un reenvío de puertos NAT- o cualquier otra red insegura.
Las vulnerabilidades publicadas, ambas críticas, son las siguientes:
- CVE-2024-51547, algunas credenciales para uso interno del producto están almacenadas en el firmware en texto plano.
- CVE-2024-48510, un fallo en drive composer puede permitir a los atacantes acceder de forma no autorizada al sistema de ficheros de la máquina que contiene el producto (host machine).
