Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun ABBren produktuetan

Argitalpen data: 2020/04/03

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • System 800xA Base, 6.1 eta lehenagoko bertsioak;
  • System 800xA Information Manager: 
    • 5.1 bertsioa;
    • 6.0.0 bertsioa, 6.0.3.2 bertsiora bitartean;
    • 6.1 bertsioa.
  • TG/S 3.2 Telephone Gateway, Analogue, MDRC;
  • 6186/11 Telefon-Gateway, Analog (Busch-Jaeger brand);
  • OPC Server para AC800M, 6.0 eta lehenagoko bertsioak;
  • Control Builder MProfessional, 6.1 eta lehenagoko bertsioak;
  • AC800Merako MMSServer, 6.1 eta lehenagoko bertsioak;
  • SoftControl-erako Base Software, 6.1 eta lehenagoko bertsioak.

Azalpena:

Applied Risk-eko William Knowles ikertzaileak eta Maxim Risk ikertzaileak ABBren hainbat produkturi eragiten dieten 8 ahultasunen berri eman dute, bi larritasun kritikokoak, hiru altukoak eta hiru ertainekoak. Urruneko sarbidea lukeen erasotzaile batek gailua geldi lezake, modu arbitrarioan kodea exekutatu, gailuaren kontrola hartu eta pribilegioen eskalatzea egin.

Konponbidea:

  • System 800xA Base ondoko ekintzetako edozeinekin konpon daiteke: 
    • eskuragarri dagoen azken bertsiora eguneratzea, 6.1;
    • 6.0.3 LTS bertsiora eguneratzea, 6.0.33ren ondoren.
  • TG/S 3.2 Telephone Gateway, Analogue, MDR y 6186/11 Telefon-Gateway, Analog (Busch-Jaeger brand):
    • Gailuak sare seguruetan soilik konfiguratzea.
  • 6.0.3 LTS bertsiora eguneratzea, 6.0.3.3ren ondoren: 
    • System 800xA Information Manager,
    • AC800Merako MMSServer,
    • AC800Merako OPC Server,
    • Control Builder MProfessional,
    • SoftControl-erako Base Software.

Xehetasuna:

Ondoren zehazten dira larritasun kritiko edo altuko ahultasunak:

  • Windowseko erregistrorako sarbide kontrolaren konfigurazioak pribilegio gutxiko erabiltzaileei ahalbidetzen die sistemaren funtzioek erabilitako edukia irakurri eta aldatzea. Erasotzaile autentifikatu batek sistema ezberdinen funtzionamendu okerra eragin lezake. Ahultasun horretarako CVE-2020-8474 identifikatzailea erreserbatu da.
  • Berehalako mezularitzaren (IM) zerbitzariak duen osagai ahul bat baliatuz, erasotzaile batek kode arbitrarioa exekuta lezake biktimaren ekipoan. Ahultasun hori arrakastaz baliatzeko, beharrezkoa da erabiltzailea konbentzitzea asmo gaiztoko webgune batera sar dadin. Ahultasun horretarako CVE-2020-8477 identifikatzailea erreserbatu da.
  • Produktuaren web zerbitzari integratuan URL jakin batera sartzean, asmo gaiztoko erabiltzaile batek aplikazioaren azken puntu ezberdinetara sarbidea lor lezake autentifikatu behar izan gabe, sarbideko kontrol arauak (ACL) saihestuz. Erasotzaile batek informazio konfidentziala eskuratu lezake edo pribilegioak eskalatzea lortu. Ahultasun horretarako CVE-2019-19104 identifikatzailea erreserbatu da.
  • Aplikazioak ez ditu erabiltzen sarbidearen kontrolerako arau egokiak (ACL). Erasotzaile batek informazioa eskura lezake edo sistemaren konfigurazioak aldatu. Ahultasun horretarako CVE-2019-19106 identifikatzailea erreserbatu da.
  • ABB Sistemaren 800xA Base-ren funtzioetako batean dagoen ahultasuna arrakastaz baliatuz gero, erasotzaile batek pribilegioen eskalatzea egin lezake, kode arbitrarioa exekutatu eta ingeniaritzako hainbat funtziori eragin, eta horrek aplikazio uztelak eragingo lituzke. Ahultasun horretarako CVE-2020-8473 identifikatzailea erabili da.

Gainerako ahultasunei honako identifikatzaileak esleitu zaizkie: CVE-2019-19105, CVE-2019-19107 eta CVE-2020-8472.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna