В шлюзах ABB обнаружены серьезные уязвимости
Производитель не планирует выпускать обновления, устраняющие проблему.
Специалисты компании Applied Risk предупредили о наличии двух серьезных уязвимостей в решениях ABB Pluto Gateway. Речь идет о шлюзах моделей GATE-E1 и GATE-E2 для передачи данных между блоками безопасности Pluto (ПЛК) и другими промышленными шинами. Первая уязвимость заключается в отсутствии механизмов аутентификации в административных telnet- и web-интерфейсах, благодаря чему злоумышленник может получить неавторизованный доступ. Баг может использоваться для модификации конфигурации и беспрерывного сброса настроек устройства, что приведет к сбою его работы.
Вторая проблема представляет собой XSS-уязвимость, позволяющую злоумышленники внедрить через административные HTTP- и telnet-интерфейсы вредоносный код, который запустится, когда администратор откроет web-портал устройства. Уязвимости могут быть проэксплуатированы удаленно по сети или через интернет при наличии соответствующих настроек.
В связи с окончанием жизненного цикла указанных продуктов производитель не намерен выпускать обновления прошивки, однако клиенты компании получат инструкции по минимизации риска эксплуатации уязвимостей. В настоящее время атак с использованием вышеперечисленных багов не зафиксировано.
