Múltiples vulnerabilidades en Allen-Bradley PowerMonitor 1000 de Rockwell Automation

Fecha de publicación 05/12/2018
Importancia
4 - Alta
Recursos Afectados
  • PowerMonitor 1000 todas las versiones.
Descripción

El investigador Luca Chiou ha identificado varias vulnerabilidades del tipo acceso de control inadecuado y cross-site scripting en el producto PowerMonitor 1000 de Allen-Bradley. Un potencial atacante podría crear nuevos usuarios en el dispositivo o inyectar código XSS.

Solución

[Actualización 06/09/2019]:

[Actualización 01/03/2019]:

Rockwell Automation recomienda:

  • Deshabilitar el puerto del protocolo de transferencia de archivos FTP.
  • Deshabilitar el acceso a la página web.
Detalle
  • El control de acceso inadecuado podría permitir a un atacante remoto usar el proxy para habilitar funciones del dispositivo lo que podría permitir crear usuarios nuevos. Se ha asignado el identificador CVE-2018-19616 para esta vulnerabilidad.
  • Un atacante podría inyectar código XSS en un parámetro de la cuenta del usuario que almacenarse en la base de datos. Se ha asignado el identificador CVE-2018-19615 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Rockwell Automation Allen-Bradley PowerMonitor 1000 - Incorrect Access Control Authentication Bypass
Rockwell Automation Allen-Bradley PowerMonitor 1000 - Cross-Site Scripting
[Actualización 06/09/2019] ICS Advisory (ICSA-19-050-04) Rockwell Automation Allen-Bradley PowerMonitor 1000 (Update A)
[Actualización 27/08/2019] Vulnerabilities Discovered in PowerMonitor 1000 Monitor
Etiquetas