Podatność klasy CWE-303 (Incorrect Implementation of Authentication Algorithm) w systemie ABB Ability OPTIMAX umożliwia nieuwierzytelnionemu atakującemu zdalne naruszenie mechanizmów uwierzytelnienia. Ocena CVSS 9.2 (CRITICAL) wskazuje na poważne ryzyko utraty poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Incorrect Implementation of Authentication Algorithm vulnerability in ABB ABB Ability OPTIMAX.This issue affects ABB Ability OPTIMAX: 6.1, 6.2, from 6.3.0 before 6.3.1-251120, from 6.4.0 before 6.4.1-251120.
Błąd polega na nieprawidłowej implementacji algorytmu uwierzytelnienia w produkcie ABB Ability OPTIMAX. Tego rodzaju podatność (CWE-303) oznacza, że logika weryfikacji tożsamości jest zaimplementowana w sposób niezgodny ze specyfikacją lub umożliwiający jej ominięcie. Atakujący z dostępem sieciowym może potencjalnie wyminąć procedury uwierzytelnienia bez znajomości prawidłowych danych logowania. Wektor ataku jest sieciowy, jednak wymaga spełnienia pewnych warunków technicznych (AC:H, AT:P).
Skuteczne wykorzystanie podatności może pozwolić nieuwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do systemu, co grozi ujawnieniem poufnych danych, naruszeniem integralności konfiguracji oraz zakłóceniem dostępności systemu zarządzania energią OPTIMAX.
Należy zaktualizować ABB Ability OPTIMAX do wersji 6.3.1-251120 (dla gałęzi 6.3.x) lub 6.4.1-251120 (dla gałęzi 6.4.x). Szczegółowe informacje i materiały serwisowe dostępne są w dokumentacji producenta pod identyfikatorem 9AKK108472A1331 na stronie ABB Library. Wersje 6.1 oraz 6.2 nie mają wskazanego patcha w opisie — należy skontaktować się z dostawcą w celu ustalenia ścieżki migracji.
ABB Ability OPTIMAX w wersjach 6.1, 6.2, od 6.3.0 przed 6.3.1-251120 oraz od 6.4.0 przed 6.4.1-251120
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X