首页 -> 安全研究

安全研究

安全漏洞
ABB多个产品硬解码凭证漏洞(CVE-2019-7225)

发布日期:2019-07-02
更新日期:2019-07-02

受影响系统:
ABB CP635-WEB
ABB CP635-B
ABB CP635
ABB CP630-WEB
ABB CP630
ABB CP620-WEB
ABB CP620
描述:
BUGTRAQ  ID: 108922
CVE(CAN) ID: CVE-2019-7225

瑞典通用电气布朗-博韦里(Asea Brown Boveri,一般使用其简称ABB)是一家总部在瑞士苏黎世的瑞士-瑞典的跨国公司,经营范围主要以机器人、电机、能源、自动化等领域。

ABB HMI组件实现了在HMI界面的配置阶段使用的隐藏管理帐户。这些凭证允许配置工具“Panel Builder 600”闪烁新的界面和标签(MODBUS线圈)映射到HMI。这些凭据是IdalMaster帐户的idal123密码,以及exor帐户的exor密码。这些凭据通过HTTP(S)和FTP使用。没有选项可以禁用或更改这些未记录的凭据。
攻击者可以使用这些凭据登录ABB HMI以读取/写入HMI配置文件,也可以重置设备。这会影响ABB CP635 HMI,CP600 HMIClient,Panel Builder 600,IDAL FTP服务器,IDAL HTTP服务器以及其他多个HMI组件。

<*链接:https://library.e.abb.com/public/6b454c20b3a2445ea148a07c46a2f85c/ABB-Advisory_3ADR010376.pdf
*>

建议:
厂商补丁:

ABB
---
ABB已经为此发布了一个安全公告(ABBVU-IAMF-1902002)以及相应补丁:
ABBVU-IAMF-1902002:Multiple Vulnerabilities in ABB CP635 HMI
链接:https://library.e.abb.com/public/6b454c20b3a2445ea148a07c46a2f85c/ABB-Advisory_3ADR010376.pdf

补丁下载:

浏览次数:596
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障