Vulnerabilidad en productos ABB

Fecha de publicación: 
11/08/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SREA-01 A, B, y C en sus versiones superiores a la 3.31.5
  • SREA-50 A en sus versiones supuerores a la 3.32.8
Descripción: 

Los investigadores Bertin Jose y Fernandez Ezequiel han descubierto una vulnerabilidad en productos de la marca ABB. Un potencial atacante remoto podría utilizar esta vulnerabilidad para tener acceso a los sistemas de ficheros de los productos afectados, cambiar la configuración de los productos, obtener el “hash” de las contraseñas y enviar comandos a los dispositivos sin necesidad de autentificarse.

Solución: 

ABB ha publicado una actualización con la que se soluciona la vulnerabilidad.

Detalle: 

Un atacante podria utilizar una vulnerabilidad del tipo “Relative Tranversal Path” para acceder sin necesidad de autentificarse a los archivos alojados en los dispositivos usando una petición HTTP con rutas relativas utilizando ../../.Se ha reservado el identificador CVE-2017-9664 para esta vulnerabilidad.