logo

شرکت سیاره فناوری اطلاعات

شرکت سیاره فناوری اطلاعات در سال 1394 با هدف ارائه خدمات تخصصی در حوزه امنیت شبکه، دیتاسنتر و زیرساخت با ماموریت ارتقاء کیفی ارائه خدمات، در استان هرمزگان تاسیس گردیده است.
آدرس: بندرعباس - بلوار دانشگاه - دانشگاه 15 - ساختمان خلیج فارس - ورودی آ - طبقه هفتم - واحد 34
Info@ITP-Co.net
07633678656
07633679513
09175500730

آسیب‌پذیری‌های متعدد در ABB HMI

‫به تازگی آسیب‌پذیری‌های متعددی در محصول ABB HMI شناسایی شده است. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند به مهاجم امکان دهد تا از دسترسی قانونی به یک گره‌ی سیستمی آسیب‌دیده جلوگیری کند، با دسترسی از راه دور وضعیت انکار سرویس (DoS) به‌وجود آورد، یا کد دلخواهی را وارد و اجرا کند.
بیشترین تعداد آسیب‌پذیری‌ها در PB۶۱۰ Panel Builder ۶۰۰ شناسایی شده که یک ابزار مهندسی برای طراحی برنامه‌های HMI (رابط انسان و ماشین یا Human Machine Interface) است. این نقص‌ها ناشی از به‌کارگیری گواهینامه‌های hard-coded است که دارای شناسه‌های ردیابی زیر هستند:
• CVE-۲۰۱۹-۷۲۲۵: دسترسی به امتیازات اجرایی
• CVE-۲۰۱۹-۷۲۲۶: دور زدن فرایند احرازهویت
• CVE-۲۰۱۹-۷۲۲۸ و CVE-۲۰۱۹-۷۲۳۰: اعتبارسنجی نامناسب داده‌های ورودی
• CVE-۲۰۱۹-۷۲۳۲ و CVE-۲۰۱۹-۷۲۳۱: سرریز بافر
• CVE-۲۰۱۹-۷۲۲۷: توانایی عبور از خارج دایرکتوری ریشه به دلیل نقص سرور FTP
پنج مورد از هفت آسیب‌پذیری فوق، دارای امتیاز پایه CVSS ۸,۸ هستند.

آسیب‌پذیری‌ها در نسخه‌های محصولات زیر مورد توجه قرار گرفته‌اند:
• PB۶۱۰ Panel Builder ۶۰۰ v۲,۸.۰.۴۲۴؛
• نسخه های جدید BSP (board support package) UN۳۱ و UN۳۰ نسخه ۲,۳۱.
کاربران باید در اسرع وقت، بروزرسانی برنامه‌های PB۶۱۰ را روی پانل‌های کنترلی CP۶۰۰ اعمال کنند. اگر بروزرسانی تجهیزات، امکان‌پذیر نباشد، توصیه شده است تا دسترسی شبکه را محدود به تجهیزات قابل اطمینان کنند.
همچنین آسیب‌پذیری‌های متعددی نیز در مولفه ABB CP۶۳۵ HMI شناسایی شده است. آسیب‌پذیری‌ها ناشی از به-کارگیری نسخه‌های منسوخ محصولات نرم‌افزاری است که حاوی آسیب‌پذیری‌های شناخته‌شده، گواهینامه‌های hard-coded با مجوزهای مدیریتی (CVE-۲۰۱۹-۷۲۲۵) و عدم تایید امضا (CVE-۲۰۱۹-۷۲۲۹) است. انواع مشابه آسیب-پذیری‌ها در محصولات CP۶۵۱ HMI نیز شناسایی شده است.
برای رفع آسیب‌پذیری در پانل‌های CP۶۳۵ و CP۶۵۱ HMI توصیه می‌شود کاربران بروزرسانی‌های زیر را روی پانل-های کنترلی CP۶۰۰ نصب کنند:
• نسخه جدیدPB۶۱۰ Panel Builder ۶۰۰ (نسخه ۲,۸.۰.۴۲۴) ارائه‌شده توسط Automation Builder ۲.۲ SP۲.
• نسخه جدید BSP UN۳۱ (نسخه ۲,۳۱) برای CP۶۳۵.
• نسخه جدید BSP UN۳۰ (نسخه ۲,۳۱) برای CP۶۵۱.

منبع خبر: مرکز مدیریت راهبردی افتا

 

ITPCo_Co