Múltiples vulnerabilidades en SREA-01 y SREA-50 de ABB

Fecha de publicación: 
14/07/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SREA-01 revisiones A, B, C versiones anteriores a la V3.31.5.
  • SREA-50 revisón A  versiones anteriores a la V3.32.8.
Descripción: 

ABB ha identificado varias vulnerabilidades que afectan a los productos SREA-01 y SREA-50 de ABB, basados en un plataforma software heredada y actualmente sin mantenimiento. Un potencial atacante podría valerse de estas vulnerabilidades para acceder a ficheros del sistema sin autorización, cambiar configuraciones o extraer el hash de contraseñas del sistema.

Solución: 

EL fabricante ABB dispone de un parche que corrige estas vulnerabilidades que puede ser descargado directamente desde un enlace proporcionado por ABB aquí.

ABB ha probado el parche para las últimas versiones de SREA-01 y puede aplicarse también para SREA-50. Si la versión hardware es muy antigua, el fabricante recomienda actualizar a la última versión o reemplazarlo.

Detalle: 

La vulnerabilidad existe en la plataforma software Netbiter incluida en los productos SREA-01 y SREA-50 de ABB. Un potencial atacante remoto podría aprovechar estas vulnerabilidades para realizar una petición HTTP haciendo referencia a una ruta de un fichero existente sin ningún tipo de autenticación. Esto permitiría al atacante obtener ficheros del sistema, cambiar la configuración o hacerse con fichero de hashes de contraseñas para intentar descifrarlas.

Etiquetas: