Múltiples vulnerabilidades en productos Hitachi ABB Power Grids
Fecha de publicación 25/08/2021
Importancia
4 - Alta
Recursos Afectados
- TropOS, versiones de firmware 8.9.4.8 y anteriores;
- Retail Operations, versiones 5.7.2 y anteriores;
- Counterparty Settlement and Billing (CSB), versiones 5.7.2 y anteriores.
Descripción
Hitachi ABB Power Grids ha reportado múltiples vulnerabilidades que podrían permitir a un atacante dirigir a un cliente que está conectado a un punto de acceso Wi-Fi TropOS a sitios web falsos y extraer datos sensibles o acceder a las credenciales de la base de datos, apagar el producto y acceder o alterar los datos del sistema.
Solución
- Para TropOS:
- actualizar a la versión de firmware v8.9.4.9 o posterior.
- Para Retail Operations y Counterparty Settlement and Billing (CSB):
- actualizar a la versión 5.7.3 o posterior.
Detalle
Las vulnerabilidades de severidad alta son:
- Las implementaciones de WEP, WPA, WPA2 y WPA3 tratan los frames fragmentados como frames completos, lo que podría permitir a un atacante inyectar paquetes de red arbitrarios independientemente de la configuración de la red. Se ha asignado el identificador CVE-2020-26142 para esta vulnerabilidad.
- La protección insuficiente de credenciales podría permitir a un atacante con acceso al dispositivo de un usuario autorizado, acceder a las credenciales de la base de datos y obtener acceso de lectura/edición a los datos de la aplicación. Se ha asignado el identificador CVE-2021-35529 para esta vulnerabilidad.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146 y CVE-2020-26147.
Para el resto de vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2020-24586, CVE-2020-24587 y CVE-2020-24588.
Listado de referencias
Etiquetas