ABB中央授权系统权限、权限和访问控制(cve - 2020 - 8476)

高站得住脚的安全插件ID 500940

剧情简介

远程资产脆弱性的影响。

描述

中央许可服务器组件中使用ABB产品ABB能力800 xa和相关系统扩展版本5.1、6.0和6.1,简洁的人机界面版本5.1和6.0,控制施工安全1.0,1.1和2.0,交响乐+ s +操作3.0到3.2交响乐+ s +工程1.1到2.2,作曲家和声5.1,6.0和6.1,旋律作曲家5.3,6.1/6.2和SPE旋律1.0 spx(6.3作曲家),和谐OPC服务器(HAOPC)独立的6.0、6.1和7.0,ABB能力系统800 xa /商务控制Builder 1.3和1.4,显著显著OCS AC100 OPC Server 5.1, 6.0和6.1,作曲家CTK 6.1和6.2,AdvaBuild 3.7 SP1和SP2, OPCServer国防部300(非- 800 xa) 1.4, 2.1和2.2 OPC数据链路,知识管理器8.0,9.0和9.1,生产运营管理1812年和1909年,ABB AbilityTM SCADAvantage 5.6.5版本5.1,验证输入存在弱点,允许攻击者改变许可分配给系统节点发送消息CLS web服务设计的比较特别的查询。

这个插件只能Tenable.ot。
有关更多信息,请访问//www.yyueer.com/products/tenable-ot。

解决方案

以下文字最初是由网络和基础设施安全机构(CISA)。原来的可以在CISA.gov找到。

ABB推荐以下措施之一:

——ABB CLS升级到以下版本:
- 5.1牧师(5.1.0.38)
- 5.1牧师E (5.1.0.99)
- 6.0 (6.0.0.26)
- 6.0.3.3 (6.0.03000.192)
- 6.1 RU1 (6.1.00100.417)
——如果ABB中央许可服务器5.1(5.1.0.14)或更早已经使用在当前使用的硬件,请联系ABB为进一步援助。
-有关cve漏洞- 2020 - 8475和cve - 2020 - 8476将在未来纠正产品版本。更新将被添加到这个咨询一旦可用。
——CLS上的方法来防止未经授权的访问节点网络包括但不限于使用IPSec和通过将客户端服务器网络从其他网络防火墙。
——确保只有经过授权的个人访问用户帐户系统上的节点。
应该阻止——交互式登录服务帐户。

有关更多信息,请参见ABB的网络安全顾问。