В IP-шлюзах ABB обнаружены опасные уязвимости

image

Теги: IP-шлюз, уязвимость

Уязвимости позволяют злоумышленнику обойти аутентификацию, осуществить CSRF-атаку и похитить учетные данные пользователей.

В IP-шлюзах от компании-производителя ABB обнаружены три опасные уязвимости, позволяющие злоумышленнику обойти аутентификацию, осуществить межсайтовую подделку запроса и похитить учетные данные пользователей.

Первая уязвимость (CVE-2017-7931) позволяет неаутентифицированному атакующему получить доступ к файлам конфигурации и страницам приложений путем перехода по определенному URL.

Вторая уязвимость (CVE-2017-7906) заключается в некорректной проверке запроса. Web-сервер не проверяет, был ли запрос действительно отправлен аутентифицированным пользователем, позволяя злоумышленнику отправить запрос от его имени.

Третья уязвимость (CVE-2017-7933) представляет собой проблему незащищенного хранения учетных данных. Некоторые файлы конфигурации содержат пароли, хранящиеся в виде простого текста, что может позволить злоумышленнику получить несанкционированный доступ.

Уязвимости затрагивают версии ABB IP Gateway 3.39 и более ранние. В настоящее время производитель выпустил соответствующие исправления.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.