ABB исправила более десятка уязвимостей в своих HMI-решениях
В числе исправленных проблемы, позволяющие обойти механизм авторизации, выполнить произвольный код или получить доступ к данным.
Швейцарская компания ABB, специализирующаяся на производстве промышленного электрооборудования, устранила в общей сложности 12 уязвимостей в ряде своих HMI-решений, в том числе проблемы, позволяющие обойти механизм авторизации, выполнить произвольный код или получить доступ к информации. Уязвимости затрагивают панели управления CP635 и CP651 для систем автоматизации ABB, а также инструмент PB610 Panel Builder 600, предназначенный для проектирования пользовательского интерфейса. Для всех трех решений опубликованы предупреждения с описанием содержащихся в них уязвимостей ( CP635 , CP651 , PB610 Panel Builder 600 ).
Проблемы безопасности связаны использованием устаревших версий программных компонентов, содержащих известные уязвимости; наличием вшитых учетных данных, предоставляющих доступ с правами администратора; багами в механизме обновления, а также наличием уязвимостей, позволяющих получить доступ к папкам на FTP-сервере, вызвать отказ в обслуживании устройства или выполнить произвольный код с помощью специально сформированных запросов.
Если уязвимая система не подключена к сети, для эксплуатации уязвимостей злоумышленнику потребуется физический доступ к устройству. По информации производителя, в настоящее время случаи эксплуатации багов в реальных атаках зафиксированы не были.