Múltiples vulnerabilidades en productos Hitachi ABB Power Grids

Fecha de publicación: 25/08/2021

Importancia:
Alta

Recursos afectados:

  • TropOS, versiones de firmware 8.9.4.8 y anteriores;
  • Retail Operations, versiones 5.7.2 y anteriores;
  • Counterparty Settlement and Billing (CSB), versiones 5.7.2 y anteriores.

Descripción:

Hitachi ABB Power Grids ha reportado múltiples vulnerabilidades que podrían permitir a un atacante dirigir a un cliente que está conectado a un punto de acceso Wi-Fi TropOS a sitios web falsos y extraer datos sensibles o acceder a las credenciales de la base de datos, apagar el producto y acceder o alterar los datos del sistema.

Solución:

  • Para TropOS:
    • actualizar a la versión de firmware v8.9.4.9 o posterior.
  • Para Retail Operations y Counterparty Settlement and Billing (CSB):
    • actualizar a la versión 5.7.3 o posterior.

Detalle:

Las vulnerabilidades de severidad alta son:

  • Las implementaciones de WEP, WPA, WPA2 y WPA3 tratan los frames fragmentados como frames completos, lo que podría permitir a un atacante inyectar paquetes de red arbitrarios independientemente de la configuración de la red. Se ha asignado el identificador CVE-2020-26142 para esta vulnerabilidad.
  • La protección insuficiente de credenciales podría permitir a un atacante con acceso al dispositivo de un usuario autorizado, acceder a las credenciales de la base de datos y obtener acceso de lectura/edición a los datos de la aplicación. Se ha asignado el identificador CVE-2021-35529 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146 y CVE-2020-26147.

Para el resto de vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2020-24586, CVE-2020-24587 y CVE-2020-24588.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.