Múltiples vulnerabilidades en productos Hitachi ABB Power Grids

Fecha de publicación: 25/08/2021

Importancia:
Alta

Recursos afectados:

• TropOS, versiones de firmware 8.9.4.8 y anteriores;
• Retail Operations, versiones 5.7.2 y anteriores;
• Counterparty Settlement and Billing (CSB), versiones 5.7.2 y anteriores.

Descripción:

Hitachi ABB Power Grids ha reportado múltiples vulnerabilidades que podrían permitir a un atacante dirigir a un cliente que está conectado a un punto de acceso Wi-Fi TropOS a sitios web falsos y extraer datos sensibles o acceder a las credenciales de la base de datos, apagar el producto y acceder o alterar los datos del sistema.

Solución:

• Para TropOS:
  • actualizar a la versión de firmware v8.9.4.9 o posterior.
• Para Retail Operations y Counterparty Settlement and Billing (CSB):
  • actualizar a la versión 5.7.3 o posterior.

Detalle:

Las vulnerabilidades de severidad alta son:

• Las implementaciones de WEP, WPA, WPA2 y WPA3 tratan los frames fragmentados como frames completos, lo que podría permitir a un atacante inyectar paquetes de red arbitrarios independientemente de la configuración de la red. Se ha asignado el identificador CVE-2020-26142 para esta vulnerabilidad.
• La protección insuficiente de credenciales podría permitir a un atacante con acceso al dispositivo de un usuario autorizado, acceder a las credenciales de la base de datos y obtener acceso de lectura/edición a los datos de la aplicación. Se ha asignado el identificador CVE-2021-35529 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146 y CVE-2020-26147.

Para el resto de vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2020-24586, CVE-2020-24587 y CVE-2020-24588.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad