Vulnerabilidad en ControlTouch de ABB

Fecha de publicación: 06/07/2021

Importancia:
Media

Recursos afectados:

Esta vulnerabilidad pertenece al producto Busch®-ControlTouch y a la forma en que se conecta con Busch-Jaeger y ABB-Cloud para la automatización de edificios. La parte vulnerable se encuentra en el subdominio:

Dado que la vulnerabilidad se origina en el software de la nube, es independiente de los dispositivos de la marca BuschJaeger o ABB.

Descripción:

Los investigadores, Tobias Mengel y Luigi Lo Iacono, han reportado de forma privada a ABB una vulnerabilidad, de severidad media, en el subsistema de la nube ControlTouch. Dicho subsistema se ha actualizado para eliminar la vulnerabilidad. Un atacante que explotara con éxito esta vulnerabilidad podría modificar la configuración del ControlTouch de un usuario autorizado.

Solución:

La vulnerabilidad se puede solucionar actualizando el subsistema de la nube. La actualización está desplegada desde la versión 2021-05-03 en adelante. Por parte del usuario final no se requiere ninguna acción en términos de actualización del sistema. Sin embargo, en caso de que un atacante consiga controlar un ControlTouch instalado, el usuario final autorizado debe tomar medidas para eliminar el acceso no autorizado.

Cumplimentar la tabla de la sección Determining if a customer is not affected para corroborar si está afectado (o alguno de sus clientes).

Detalle:

La vulnerabilidad se origina en el proceso de puesta en marcha, donde un ataque realizado contra el ControlTouch podría introducir un número de serie, específicamente diseñado, para transferir el dispositivo virtualmente a su perfil my.busch-jaeger.de o mybuildings.abb.com. Un atacante podría monitorizar y controlar el ControlTouch de forma remota, en circunstancias muy específicas, de manera similar a como lo haría un usuario final. Se ha asignado el identificador CVE-2021-22272 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.