Podatność w oprogramowaniu urządzeń ABB ASPECT, NEXUS i MATRIX umożliwia niezweryfikowanemu atakującemu wstrzyknięcie niezwalidowanych i nieoczyszczonych danych do urządzenia. Oceniona jako krytyczna (CVSS 9.3), stanowi poważne zagrożenie dla systemów automatyki budynkowej.
▸ Pokaż oryginał (EN)
Data Validation / Data Sanitization vulnerabilities in Linux allows unvalidated and unsanitized data to be injected in an Aspect device. Affected products: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02
Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych (CWE-1287) w systemie Linux będącym podstawą oprogramowania urządzeń ABB ASPECT. Atakujący zdalnie, bez uwierzytelnienia i bez żadnej interakcji ze strony użytkownika, może dostarczyć specjalnie spreparowane dane, które zostaną przyjęte i przetworzone przez urządzenie. Brak mechanizmów kontroli danych wejściowych pozwala na ich wstrzyknięcie do logiki działającego systemu.
Atakujący może uzyskać nieautoryzowany dostęp do danych urządzenia oraz wpłynąć na integralność przetwarzanych informacji, co w środowisku systemów automatyki budynkowej może prowadzić do zakłócenia działania infrastruktury. Wektor CVSS wskazuje na wysoki wpływ na poufność i integralność danych urządzenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegółowe informacje dostępne w dokumencie ABB o numerze 9AKK108469A7497 pod adresem wskazanym w referencjach.
ABB ASPECT - Enterprise w wersji 3.08.02, NEXUS Series w wersji 3.08.02, MATRIX Series w wersji 3.08.02
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAbb Aspect Ent 12
HWAbbwszystkie wersjeAbb Aspect Ent 12 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2
HWAbbwszystkie wersjeAbb Aspect Ent 256
HWAbbwszystkie wersjeAbb Aspect Ent 256 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2 Firmware
OSAbb< 3.08.03Abb Aspect Ent 96
HWAbbwszystkie wersjeAbb Aspect Ent 96 Firmware
OSAbb< 3.08.03Abb Matrix 11
HWAbbwszystkie wersjeAbb Matrix 11 Firmware
OSAbb< 3.08.03Abb Matrix 216
HWAbbwszystkie wersjeAbb Matrix 216 Firmware
OSAbb< 3.08.03Abb Matrix 232
HWAbbwszystkie wersjeAbb Matrix 232 Firmware
OSAbb< 3.08.03Abb Matrix 264
HWAbbwszystkie wersjeAbb Matrix 264 Firmware
OSAbb< 3.08.03Abb Matrix 296
HWAbbwszystkie wersjeAbb Matrix 296 Firmware
OSAbb< 3.08.03Abb Nexus 2128
HWAbbwszystkie wersjeAbb Nexus 2128 A
HWAbbwszystkie wersjeAbb Nexus 2128 A Firmware
OSAbb< 3.08.03Abb Nexus 2128 F
HWAbbwszystkie wersjeAbb Nexus 2128 F Firmware
OSAbb< 3.08.03Abb Nexus 2128 Firmware
OSAbb< 3.08.03Abb Nexus 2128 G
HWAbbwszystkie wersjeAbb Nexus 2128 G Firmware
OSAbb< 3.08.03Abb Nexus 264
HWAbbwszystkie wersjeAbb Nexus 264 A
HWAbbwszystkie wersjeAbb Nexus 264 A Firmware
OSAbb< 3.08.03Abb Nexus 264 F
HWAbbwszystkie wersje
Powiązane podatności
Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX
Słabe reguły resetowania hasła w urządzeniach ABB ASPECT i NEXUS/MATRIX
Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika
RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX
RCE poprzez nieautoryzowany dostęp w urządzeniach ABB ASPECT/NEXUS/MATRIX