Inicio / Alerta Temprana / Avisos Sci / Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB

Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB

Fecha de publicación: 
14/11/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Automation Builder, todas las versiones anteriores a la versión 2.3.0 (solo cuando se utiliza para programar PLC AC500 V3 o las unidades programables IEC61131).
  • Drive Application Builder: versión 1.0.0.
Descripción: 

El investigador Heinz Füglister de WRH Walter Reist Holding AGSe ha identificado una vulnerabilidad de inyección de código que afecta a varios dispositivos de ABB. Un atacante podría realizar una ejecución de código arbitraria.

Solución: 

ABB publicará actualizaciones específicas para cada uno de los productos afectados que solucionarán esta vulnerabilidad. Una vez estén disponibles, se recomienda actualizar a dicha versión.

  • Automation Builder, actualizar a la versión 2.3.0 disponible en el primer cuatrimestre de 2020.
  • Drive Application Builder, actualizar a la versión 1.1.0 disponible a finales de 2019.

Hasta la publicación de las actualizaciones, ABB recomienda utilizar librerías IEC 61131 obtenidas únicamente de fuentes confiables.

Detalle: 

La vulnerabilidad se origina en los componentes activos en la documentación de la librería IEC 61131-3. En el entorno de desarrollo se muestran estos componentes activos sin ningún proceso de validación, pudiendo permitir a un atacante la ejecución de código JavaScript o ActiveX.

Encuesta valoración