CRITICAL🇬🇧 English

CVE-2024-48840

RCE poprzez nieautoryzowany dostęp w urządzeniach ABB ASPECT/NEXUS/MATRIX

CVSS 9.3v4.0pub. 2024-12-05upd. 2025-02-27

Podatność klasy CWE-94 (code injection) w oprogramowaniu ABB ASPECT Enterprise, NEXUS Series oraz MATRIX Series umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym urządzeniu. Krytyczny poziom CVSS 9.3 oraz brak wymagań dotyczących uwierzytelnienia lub interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Unauthorized Access vulnerabilities allow Remote Code Execution.  Affected products: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli dostępu, która pozwala nieautoryzowanemu użytkownikowi sieciowemu na wstrzyknięcie i wykonanie złośliwego kodu (CWE-94 — Improper Control of Code Generation). Atakujący może skierować specjalnie spreparowane żądanie do urządzenia przez sieć bez konieczności posiadania jakichkolwiek poświadczeń. Wektor ataku jest w pełni zdalny (AV:N), nie wymaga skomplikowanych warunków (AC:L) ani żadnej interakcji po stronie użytkownika (UI:N).

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym urządzeniem poprzez zdalne wykonanie kodu (RCE), co prowadzi do kompromitacji poufności i integralności danych przetwarzanych przez system automatyki budynkowej. Możliwe jest również naruszenie integralności systemów powiązanych oraz częściowa utrata dostępności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (dokumentacja ABB: 9AKK108469A7497). Zaleca się niezwłoczne sprawdzenie wersji oprogramowania na wszystkich urządzeniach ASPECT, NEXUS i MATRIX oraz ograniczenie dostępu sieciowego do paneli zarządzania wyłącznie do zaufanych hostów do czasu wdrożenia aktualizacji.

Kogo dotyczy

ABB ASPECT - Enterprise w wersji v3.08.02, ABB NEXUS Series w wersji v3.08.02 oraz ABB MATRIX Series w wersji v3.08.02

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Abb Aspect Ent 12

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 12 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 2

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 256

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 256 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 2 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 96

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 96 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 11

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 11 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 216

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 216 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 232

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 232 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 264

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 264 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 296

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 296 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 A

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 A Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 F

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 F Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 G

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 G Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 264

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 264 A

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 264 A Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 264 F

    HW
    Abb
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-51547CRITICAL9.3PL ✓ten sam produkt

Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX

CVE-2024-51545CRITICAL9.3PL ✓ten sam produkt

Enumeracja nazw użytkowników w ABB ASPECT, NEXUS i MATRIX Series

CVE-2024-11317CRITICAL9.3PL ✓ten sam produkt

Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika

CVE-2024-48839CRITICAL9.3PL ✓ten sam produkt

RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX

CVE-2024-48845CRITICAL9.3PL ✓ten sam produkt

Słabe reguły resetowania hasła w urządzeniach ABB ASPECT i NEXUS/MATRIX