Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun ABBren GATE gailuetan

Argitalpen data: 2018/12/17

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • GATE-E2, bertsio guztiak.
  • GATE-E1, bertsio guztiak.

Azalpena:

Applied Risk-eko Nelson Berg ikertzaileak Cross-Site Scripting (XSS) erako eta autentifikaziorako laguntzaren gabezia erako bi ahultasunen berri eman du, ABBren GATE gailuei eragiten dietenak. Erasotzaile batek gailuak egoera eskuraezinean utz litzake edo kodea injektatu.

Konponbidea:

Kaltetutako produktuak bere bizitza erabilgarriaren amaieran aurkitzen dira eta horregatik ABBk ez ditu argitaratuko ahultasun horiek konpontzeko firmware bertsio berriak.

Nolanahi ere, ABBk erabiltzaile guztiei emailez helarazi dizkie gailu horiek modu seguruan konfiguratzeko argibideak.

Gainera, ABBk hainbat gomendio egin ditu: baimenik gabeko langileek sarbide zuzenik izan ez dezaten gailuak babestea, Interneterako konexio zuzenik ez izatea, ekipo hauek beste batzuetatik babestea suebakiek kontrolatutako sareetan, eta ahalik eta ataka gutxien agerian uztea.

Xehetasuna:

  • Erasotzaile batek Cross-Site Scripting bat egin lezake eta gailuak egoera eskuraezinean utzi gailuaren konfigurazioa aldatuz edo produktua modu iraunkorrean berrabiaraziz. Ahultasun horretarako CVE-2018-18997 identifikatzailea erreserbatu da.
  • Autentifikazioaren uneko laguntza gabezia batek eraginda, urruneko erasotzaile batek scriptak injekta litzake bezeroaren aldean produktuaren webgunean. Horrela produktuaren web interfazera konektatuta dauden erabiltzaileen nabigatzailea arriskuan jar liteke. Ahultasun horretarako CVE-2018-18995 identifikatzailea erreserbatu da.
Etiketak: Ahultasuna