Múltiples vulnerabilidades en Terra AC wallbox de ABB
Fecha de publicación 18/05/2023
Identificador
INCIBE-2023-0180
Importancia
4 - Alta
Recursos Afectados
- Terra AC wallbox (UL40/80A), versión 1.5.5 y anteriores;
- Terra AC wallbox (UL32A), versión 1.6.5 y anteriores;
- Terra AC wallbox (CE):
- Terra AC MID y Terra AC Juno CE, versión 1.6.5 y anteriores;
- Terra AC PTB, versión 1.5.25 y anteriores;
- Symbiosis, versión 1.2.7 y anteriores.
- Terra AC wallbox (JP), versión 1.6.5 y anteriores.
Descripción
Los investigadores Andi Leach, Puck Meerburg y Lionel R. Saposnik han reportado 2 vulnerabilidades de severidad alta en Terra AC wallbox, cuya explotación podría permitir a un atacante utilizar el producto y modificar o leer los ajustes de configuración del mismo, así como monitorizar la transmisión de datos si está cerca mientras un usuario legítimo utiliza el nodo del sistema.
Solución
Actualizar los modelos del producto afectado a las siguientes versiones:
- Terra AC wallbox (UL40/80A), versión 1.5.6;
- Terra AC wallbox (UL32A), versión 1.6.6;
- Terra AC wallbox (CE):
- Terra AC MID y Terra AC Juno CE, versión 1.6.6;
- Terra AC PTB, versión 1.5.26;
- Symbiosis, versión 1.2.8.
- Terra AC wallbox (JP), versión 1.6.6.
Detalle
- La autenticación para acceder a la AC wallbox a través de su canal Bluetooth Low Energy (BLE) podría eludirse, permitiendo el uso no autorizado o la modificación del dispositivo. Esto permitiría a un atacante suplantar a un usuario legítimo, leer o revelar datos de configuración del cargador almacenados y cambiar la configuración del dispositivo. Se ha asignado el identificador CVE-2023-0863 para esta vulnerabilidad.
- Los datos de configuración se intercambian en texto plano y podrían estar a disposición de un atacante si están presentes durante la configuración o el uso del dispositivo a través de BLE. Se ha asignado el identificador CVE-2023-0864 para esta vulnerabilidad.
Listado de referencias