ABB on julkaissut Arctic wireless gateway -tuotteeseen liittyvän haavoittuvuuden
Haavoittuvuus37/2020CVSS 4.2
ABB:n Arctic wireless gateway -tuotteiden kohdalla on havaittu, että niihin liitetyt laitteet voivat päästä hetkellisesti Arctic wireless gatewayn uudelleenkäynnistymisen yhteydessä internetiin, vaikka VPN on määritelty käyttöön. Haavoittuvuudella on CVE-2020-24684 ja CVSS-arvo 4.2.
Aikaikkuna jolloin laitteet mahdollisesti pääsevät internetiin on todennäköisesti sekunteja laitteen uudelleenkäynnistymisen yhteydessä, mutta jos VPN-yhteyden muodostamisessa kestää - voi aika olla pidempikin. Erillisellä laitteen ja internetin välisellä palomuurilla päästään kuitenkin tarvittaessa rajoittamaan ulospäin suuntautuvaa liikennettä. Oletuksena Arctic wireless gateway -laitteet estävät kaiken sisääntulevan liikenteen internetistä. ABB suosittelee julkaisussaan myös yleisesti kiinnittämään huomiota ympäristön toteutukseen ja suojaamiseen.
ABB on julkaissut ohjeet (Ulkoinen linkki), miten Arctic wireless gateway -tuotteet tulisi asentaa ja konfiguroida, jolloin tämä haavoittuvuus saadaan lievennettyä.
Kohde
- Verkon aktiivilaitteet
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot
ABB Arctic wireless gateway -sarjan tuotteet:
ARG600/ARC600/ARP600/ARR600-mallit
ohjelmistoversioon 3.4.9 asti
Vanhemmat ABB ja Viola Systems Arctic wireless gateway -tuotteet:
ABB REC/RER 601/603 Viola Systems Arctic wireless gateway -tuotteet HTTPS-käyttöliittymällä
Viola Systems Arctic wireless gateway -tuotteet HTTP-käyttöliittymällä
Ratkaisu- ja rajoitusmahdollisuudet
ABB Arctic wireless gateway -sarja:
ARG600/ARC600/ARP600/ARR600-mallit, ohjelmistoversioon 3.4.9 asti
- Konfiguroi laitteet ABB:n julkaiseman ohjeen mukaisesti.
Viola Systems Arctic wireless gateway -tuotteet HTTPS-käyttöliittymällä, pois lukien malli 2620
- Päivitys uusimpaan ohjelmistoversioon, jotta ABB:n suosittelemat konfiguraatiomuutokset voidaan toteuttaa.
ABB REC/RER 601/603, Viola Systems Arctic wireless gateway -tuotteet HTTP-käyttöliittymällä ja Viola Systems Arctic 3G gateway 2620
- Tällä hetkellä ei ole tarjolla ohjelmistopäivitystä, mutta vahva suositus on kytkeä laitteet erillisen palomuurin takaa verkkoon tai yksityisen APN:n käyttö.
Muussa tapauksessa korvaamalla tuote uudemmalla Arctic wireless gatewaylla.