В IP-шлюзах ABB обнаружены опасные уязвимости

В IP-шлюзах от компании-производителя ABB обнаружены три опасные уязвимости, позволяющие злоумышленнику обойти аутентификацию, осуществить межсайтовую подделку запроса и похитить учетные данные пользователей.

Первая уязвимость (CVE-2017-7931) позволяет неаутентифицированному атакующему получить доступ к файлам конфигурации и страницам приложений путем перехода по определенному URL.

Вторая уязвимость (CVE-2017-7906) заключается в некорректной проверке запроса. Web-сервер не проверяет, был ли запрос действительно отправлен аутентифицированным пользователем, позволяя злоумышленнику отправить запрос от его имени.

Третья уязвимость (CVE-2017-7933) представляет собой проблему незащищенного хранения учетных данных. Некоторые файлы конфигурации содержат пароли, хранящиеся в виде простого текста, что может позволить злоумышленнику получить несанкционированный доступ.

Уязвимости затрагивают версии ABB IP Gateway 3.39 и более ранние. В настоящее время производитель выпустил соответствующие исправления.