Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB

Fecha de publicación:

14/11/2019

Importancia:

4 - Alta

Recursos afectados:

Automation Builder, todas las versiones anteriores a la versión 2.3.0 (solo cuando se utiliza para programar PLC AC500 V3 o las unidades programables IEC61131).
Drive Application Builder: versión 1.0.0.

Descripción:

El investigador Heinz Füglister de WRH Walter Reist Holding AGSe ha identificado una vulnerabilidad de inyección de código que afecta a varios dispositivos de ABB. Un atacante podría realizar una ejecución de código arbitraria.

Solución:

ABB publicará actualizaciones específicas para cada uno de los productos afectados que solucionarán esta vulnerabilidad. Una vez estén disponibles, se recomienda actualizar a dicha versión.

Automation Builder, actualizar a la versión 2.3.0 disponible en el primer cuatrimestre de 2020.
Drive Application Builder, actualizar a la versión 1.1.0 disponible a finales de 2019.

Hasta la publicación de las actualizaciones, ABB recomienda utilizar librerías IEC 61131 obtenidas únicamente de fuentes confiables.

Detalle:

La vulnerabilidad se origina en los componentes activos en la documentación de la librería IEC 61131-3. En el entorno de desarrollo se muestran estos componentes activos sin ningún proceso de validación, pudiendo permitir a un atacante la ejecución de código JavaScript o ActiveX.

Referencias:

Automation Builder 2.2 (and before), Drive Application Builder 1.0

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB

Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en productos Siemens

Múltiples vulnerabilidades en productos de Weidmueller

Escalada de privilegios en HMI/SCADA iFIX de General Electric

Resolución de enlace indebida en SafeNet Sentinel LDK License Manager Runtime de Thales DIS