28 июня 2019

Множественные уязвимости в HMI-решениях ABB

В HMI-решениях производства компании ABB обнаружены и устранены множественные уязвимости. Эксплуатируя эти уязвимости, злоумышленник может препятствовать легитимному доступу к системе, удаленно вызвать отказ в обслуживании уязвимого узла или внедрить и выполнить произвольный код.

Наибольшее количество уязвимостей выявлено в решении PB610 Panel Builder 600. Проблемы безопасности связаны с использованием жестко закодированных учетных данных, предоставляющих доступ с правами администратора (CVE-2019-7225), некорректными аутентификацией (CVE-2019-7226) и проверкой входных данных (CVE-2019-7228, CVE-2019-7230), переполнением буфера (CVE-2019-7232, CVE-2019-7231) и возможностью выйти за пределы корневого каталога из-за ошибок в FTP-сервера (CVE-2019-7227). Пять из семи указанных уязвимостей получили оценку 8,8 баллов по шкале CVSS v.3.

Уязвимости исправлены в следующих версиях продукта:

Пользователям следует как можно быстрее применить обновление приложений PB610 на панелях управления CP600. Если обновление устройств невозможно, производитель рекомендует ограничить сетевой доступ к уязвимым устройствам только доверенным сторонам/устройствам.

В панели управления CP635 выявлены уязвимости, связанные использованием устаревших версий программных компонентов, содержащих известные уязвимости, а также жестко закодированных учетных данных с администраторскими правами (CVE-2019-7225) и отсутствием проверки подписи (CVE-2019-7229).

Аналогичные по типу уязвимости были выявлены и в HMI-решениях CP651.

Для устранения уязвимостей в панелях управления CP635 и CP651 пользователям рекомендуется установить следующие обновления на соответствующих панелях управления CP600:

Источники: ICS-CERT, ABB