Almacenamiento de contraseña en texto plano en System 800xA de ABB
Los siguientes productos y versiones que emplean VideONet están afectados por esta vulnerabilidad:
- System 800xA 5.1.x
- System 800xA 6.0.3.x
- System 800xA 6.1.1.x
- System 800xA 6.2.x
El producto VideONet presente en varios componentes de ABB tiene una vulnerabilidad de almacenamiento de contraseña en texto plano que podría permitir a un atacante, en el peor escenario posible, detener o manipular la trasmisión de vídeo.
El fabricante no ofrece una actualización del producto VideONet, en su lugar recomienda realizar una transición a Camera Connect cuando esté disponible, previsiblemente, en el primer semestre de 2025.
Como mitigación se recomienda, de forma general, consultar la documentación del fabricante, System 800xA VideONet Connect user documentation (2PAA109407*). En ella se explica cómo proteger la red en la que están conectadas las cámaras para prevenir accesos no autorizados. Asimismo, también es importante proteger el servidor de VideONet de accesos no autorizados. Por otro lado, asegúrese de que las cuentas de usuario de la cámara empleados en System 800xA tienen únicamente el nivel mínimo de privilegios para realizar sus tareas.
La vulnerabilidad se produce porque las contraseñas de la cámara están almacenadas en texto plano, un atacante que lograse explotar con éxito la vulnerabilidad podría obtener las credenciales de acceso de las cámaras y manipular o detener la trasmisión de vídeo.
Esta vulnerabilidad no afecta a otras funciones del operador (gráficos, tendencias, placas frontales, etc.) ni a las operaciones de control.
La vulnerabilidad tiene el identificador CVE-2024-10334 y se le ha asignado una criticidad alta.
