Podatność klasy CWE-94 (code injection) w oprogramowaniu ABB ASPECT Enterprise, NEXUS Series oraz MATRIX Series umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym urządzeniu. Krytyczny poziom CVSS 9.3 oraz brak wymagań dotyczących uwierzytelnienia lub interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Unauthorized Access vulnerabilities allow Remote Code Execution. Affected products: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02
Podatność wynika z nieprawidłowej kontroli dostępu, która pozwala nieautoryzowanemu użytkownikowi sieciowemu na wstrzyknięcie i wykonanie złośliwego kodu (CWE-94 — Improper Control of Code Generation). Atakujący może skierować specjalnie spreparowane żądanie do urządzenia przez sieć bez konieczności posiadania jakichkolwiek poświadczeń. Wektor ataku jest w pełni zdalny (AV:N), nie wymaga skomplikowanych warunków (AC:L) ani żadnej interakcji po stronie użytkownika (UI:N).
Atakujący może uzyskać pełną kontrolę nad podatnym urządzeniem poprzez zdalne wykonanie kodu (RCE), co prowadzi do kompromitacji poufności i integralności danych przetwarzanych przez system automatyki budynkowej. Możliwe jest również naruszenie integralności systemów powiązanych oraz częściowa utrata dostępności urządzenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (dokumentacja ABB: 9AKK108469A7497). Zaleca się niezwłoczne sprawdzenie wersji oprogramowania na wszystkich urządzeniach ASPECT, NEXUS i MATRIX oraz ograniczenie dostępu sieciowego do paneli zarządzania wyłącznie do zaufanych hostów do czasu wdrożenia aktualizacji.
ABB ASPECT - Enterprise w wersji v3.08.02, ABB NEXUS Series w wersji v3.08.02 oraz ABB MATRIX Series w wersji v3.08.02
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAbb Aspect Ent 12
HWAbbwszystkie wersjeAbb Aspect Ent 12 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2
HWAbbwszystkie wersjeAbb Aspect Ent 256
HWAbbwszystkie wersjeAbb Aspect Ent 256 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2 Firmware
OSAbb< 3.08.03Abb Aspect Ent 96
HWAbbwszystkie wersjeAbb Aspect Ent 96 Firmware
OSAbb< 3.08.03Abb Matrix 11
HWAbbwszystkie wersjeAbb Matrix 11 Firmware
OSAbb< 3.08.03Abb Matrix 216
HWAbbwszystkie wersjeAbb Matrix 216 Firmware
OSAbb< 3.08.03Abb Matrix 232
HWAbbwszystkie wersjeAbb Matrix 232 Firmware
OSAbb< 3.08.03Abb Matrix 264
HWAbbwszystkie wersjeAbb Matrix 264 Firmware
OSAbb< 3.08.03Abb Matrix 296
HWAbbwszystkie wersjeAbb Matrix 296 Firmware
OSAbb< 3.08.03Abb Nexus 2128
HWAbbwszystkie wersjeAbb Nexus 2128 A
HWAbbwszystkie wersjeAbb Nexus 2128 A Firmware
OSAbb< 3.08.03Abb Nexus 2128 F
HWAbbwszystkie wersjeAbb Nexus 2128 F Firmware
OSAbb< 3.08.03Abb Nexus 2128 Firmware
OSAbb< 3.08.03Abb Nexus 2128 G
HWAbbwszystkie wersjeAbb Nexus 2128 G Firmware
OSAbb< 3.08.03Abb Nexus 264
HWAbbwszystkie wersjeAbb Nexus 264 A
HWAbbwszystkie wersjeAbb Nexus 264 A Firmware
OSAbb< 3.08.03Abb Nexus 264 F
HWAbbwszystkie wersje
Powiązane podatności
Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX
Enumeracja nazw użytkowników w ABB ASPECT, NEXUS i MATRIX Series
Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika
RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX
Słabe reguły resetowania hasła w urządzeniach ABB ASPECT i NEXUS/MATRIX