هشدارهای افتایی
به تازگی آسیب‌پذیری‌های متعددی در محصول ABB HMI شناسایی شده است. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند به مهاجم امکان دهد تا از دسترسی قانونی به یک گره‌ی سیستمی آسیب‌دیده جلوگیری کند، با دسترسی از راه دور وضعیت انکار سرویس (DoS) به‌وجود آورد، یا کد دلخواهی را وارد و اجرا کند.
بیشترین تعداد آسیب‌پذیری‌ها در PB610 Panel Builder 600 شناسایی شده که یک ابزار مهندسی برای طراحی برنامه‌های HMI (رابط انسان و ماشین یا Human Machine Interface) است. این نقص‌ها ناشی از به‌کارگیری گواهینامه‌های hard-coded است که دارای شناسه‌های ردیابی زیر هستند:
•    CVE-2019-7225: دسترسی به امتیازات اجرایی
•    CVE-2019-7226: دور زدن فرایند احرازهویت
•    CVE-2019-7228 و CVE-2019-7230: اعتبارسنجی نامناسب داده‌های ورودی
•    CVE-2019-7232 و CVE-2019-7231: سرریز بافر
•    CVE-2019-7227: توانایی عبور از خارج دایرکتوری ریشه به دلیل نقص سرور FTP
پنج مورد از هفت آسیب‌پذیری فوق، دارای امتیاز پایه CVSS 8.8 هستند.

آسیب‌پذیری‌ها در نسخه‌های محصولات زیر مورد توجه قرار گرفته‌اند:
•    PB610 Panel Builder 600 v2.8.0.424؛
•    نسخه های جدید BSP (board support package) UN31 و UN30 نسخه 2.31.
کاربران باید در اسرع وقت، بروزرسانی برنامه‌های PB610 را روی پانل‌های کنترلی CP600 اعمال کنند. اگر بروزرسانی تجهیزات، امکان‌پذیر نباشد، توصیه شده است تا دسترسی شبکه را محدود به تجهیزات قابل اطمینان کنند.
همچنین آسیب‌پذیری‌های متعددی نیز در مولفه ABB CP635 HMI شناسایی شده است. آسیب‌پذیری‌ها ناشی از به-کارگیری نسخه‌های منسوخ محصولات نرم‌افزاری است که حاوی آسیب‌پذیری‌های شناخته‌شده، گواهینامه‌های hard-coded با مجوزهای مدیریتی (CVE-2019-7225) و عدم تایید امضا (CVE-2019-7229) است. انواع مشابه آسیب-پذیری‌ها در محصولات CP651 HMI نیز شناسایی شده است.
برای رفع آسیب‌پذیری در پانل‌های CP635 و CP651 HMI توصیه می‌شود کاربران بروزرسانی‌های زیر را روی پانل-های کنترلی CP600 نصب کنند:
•    نسخه جدیدPB610 Panel Builder 600  (نسخه 2.8.0.424) ارائه‌شده توسط Automation Builder 2.2 SP2.
•    نسخه جدید BSP UN31 (نسخه 2.31) برای CP635.
•    نسخه جدید BSP UN30 (نسخه 2.31) برای CP651.


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.