Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

ABB on julkaissut Arctic wireless gateway -tuotteeseen liittyvän haavoittuvuuden

Haavoittuvuus37/2020CVSS 4.2

ABB:n Arctic wireless gateway -tuotteiden kohdalla on havaittu, että niihin liitetyt laitteet voivat päästä hetkellisesti Arctic wireless gatewayn uudelleenkäynnistymisen yhteydessä internetiin, vaikka VPN on määritelty käyttöön. Haavoittuvuudella on CVE-2020-24684 ja CVSS-arvo 4.2.

Aikaikkuna jolloin laitteet mahdollisesti pääsevät internetiin on todennäköisesti sekunteja laitteen uudelleenkäynnistymisen yhteydessä, mutta jos VPN-yhteyden muodostamisessa kestää - voi aika olla pidempikin. Erillisellä laitteen ja internetin välisellä palomuurilla päästään kuitenkin tarvittaessa rajoittamaan ulospäin suuntautuvaa liikennettä. Oletuksena Arctic wireless gateway -laitteet estävät kaiken sisääntulevan liikenteen internetistä. ABB suosittelee julkaisussaan myös yleisesti kiinnittämään huomiota ympäristön toteutukseen ja suojaamiseen.

ABB on julkaissut ohjeet (Ulkoinen linkki), miten Arctic wireless gateway -tuotteet tulisi asentaa ja konfiguroida, jolloin tämä haavoittuvuus saadaan lievennettyä.

Kohde

  • Verkon aktiivilaitteet

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

ABB Arctic wireless gateway -sarjan tuotteet:
ARG600/ARC600/ARP600/ARR600-mallit
ohjelmistoversioon 3.4.9 asti

Vanhemmat ABB ja Viola Systems Arctic wireless gateway -tuotteet:
ABB REC/RER 601/603 Viola Systems Arctic wireless gateway -tuotteet HTTPS-käyttöliittymällä
Viola Systems Arctic wireless gateway -tuotteet HTTP-käyttöliittymällä

Ratkaisu- ja rajoitusmahdollisuudet

ABB Arctic wireless gateway -sarja:
ARG600/ARC600/ARP600/ARR600-mallit, ohjelmistoversioon 3.4.9 asti

  • Konfiguroi laitteet ABB:n julkaiseman ohjeen mukaisesti.

Viola Systems Arctic wireless gateway -tuotteet HTTPS-käyttöliittymällä, pois lukien malli 2620

  • Päivitys uusimpaan ohjelmistoversioon, jotta ABB:n suosittelemat konfiguraatiomuutokset voidaan toteuttaa.

ABB REC/RER 601/603, Viola Systems Arctic wireless gateway -tuotteet HTTP-käyttöliittymällä ja  Viola Systems Arctic 3G gateway 2620

  • Tällä hetkellä ei ole tarjolla ohjelmistopäivitystä, mutta vahva suositus on kytkeä laitteet erillisen palomuurin takaa verkkoon tai yksityisen APN:n käyttö.

Muussa tapauksessa korvaamalla tuote uudemmalla Arctic wireless gatewaylla.