Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en RobotWare de ABB

Múltiples vulnerabilidades en RobotWare de ABB

Fecha de publicación: 
02/11/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • RobotWare 5.x, todas las versiones anteriores a 5.15.13
  • RobotWare 5.6x, todas las versiones anteriores a  5.61.07
  • RobotWare 6.x, todas las versiones anteriores a  6.04.00
Descripción: 

ABB ha tenido conocimiento sobre varias vulnerabilidades que afectan su producto RobotWare.

Solución: 

ABB ha publicado las siguientes versiones de firmware que solucionan las vulnerabilidades descubiertas:

  • RobotWare versión 5.15.13
  • RobotWare versión 5.61.07
  • RobotWare versión 6.04.00

ABB recomienda utilizar buenas prácticas en la configuración de los cortafuegos para ayudar a proteger al controlador del robot de ataques externos a la red en la que se encuentra. Este tipo de prácticas también incluyen la protección física del controlador del robot para evitar accesos físicos no autorizados, no tener conexiones directas a Internet y mantenerlos separados del resto de redes por medio de un cortafuegos con una cantidad de puertos expuestos mínima, que será evaluada caso por caso. Los ordenadores portátiles y los medios extraíbles de almacenamiento han de ser cuidadosamente analizados en busca de virus que puedan conectarse al controlador del robot.

Detalle: 

Las vulnerabilidades identificadas son:

  • Desbordamiento de búfer: Existe una vulnerabilidad de desbordamiento de búfer en el servidor Robot Communication que se ejecuta en los productos afectados. Un atacante podría explotar esta vulnerabilidad enviando mensajes especialmente manipulados al controlador del robot para insertar y ejecutar código arbitrario.
  • Ejecución remota de comandos: Un atacante podría explotar esta vulnerabilidad enviando mensajes especialmente manipulados al controlador del robot permitiendo invocar y ejecutar código arbitrario. Esta vulnerabilidad está presente en el ordenador principal de los recursos afectados listados.
  • Evasión de autenticación: Esta vulnerabilidad está presente en el ordenador principal de RobotWare en las versiones 5.x. Un atacante que se aproveche de esta vulnerabilidad puede ganar acceso al controlador del robot sin autenticación. ABB no va a ser capaz de resolver esta vulnerabilidad completamente y aún existe para el puerto de servicio.l
  • Desbordamiento de búfer en FlexPendant: Un atacante podría explotar esta vulnerabilidad enviando mensajes especialmente manipulados a FlexPendant, permitiendo insertar y ejecutar código arbitrario.
  • Desbordamiento del búfer remoto: Un atacante podría explotar esta vulnerabilidad enviando mensajes especialmente manipulados al controlador del robot permitiendo invocar y ejecutar código arbitrario. Esta vulnerabilidad está presente en el ordenador principal de los recursos afectados listados.
Etiquetas: