Control remoto e inserción de código en productos ASPECT® Control Engines de ABB
INCIBE-2023-0210
- ASPECT®-Enterprise, ASP-ENT-x, firmware versión 3,
- NEXUS Series, NEX-2x y NEXUS-3-x, firmware versión 3,
- MATRIX Series, MAT-x, firmware versión 3.
Ver ID de los productos afectados en el aviso oficial (enlace en referencias).
Prism Infosec ha identificado y notificado dos vulnerabilidades de severidad alta que podrían permitir a un atacante tomar el control a través del control remoto e insertar código arbitrario.
Actualizar a la versión de firmware 3.07.01 o posterior, de los productos afectados.
Las vulnerabilidades detectadas de severidad alta podrían permitir que un atacante con acceso a la shell, escale los privilegios de acceso a root o aproveche un componente de diagnóstico de red vulnerable de la interfaz ASPECT para realizar una ejecución remota de código. Se han asignado los identificadores CVE-2023-0635 y CVE-2023-0636 para estas vulnerabilidades.