Ejecución arbitraria de código en Automation Builder y Drive Application Builder de ABB
- Automation Builder, todas las versiones anteriores a la versión 2.3.0 (solo cuando se utiliza para programar PLC AC500 V3 o las unidades programables IEC61131).
- Drive Application Builder: versión 1.0.0.
El investigador Heinz Füglister de WRH Walter Reist Holding AGSe ha identificado una vulnerabilidad de inyección de código que afecta a varios dispositivos de ABB. Un atacante podría realizar una ejecución de código arbitraria.
ABB publicará actualizaciones específicas para cada uno de los productos afectados que solucionarán esta vulnerabilidad. Una vez estén disponibles, se recomienda actualizar a dicha versión.
- Automation Builder, actualizar a la versión 2.3.0 disponible en el primer cuatrimestre de 2020.
- Drive Application Builder, actualizar a la versión 1.1.0 disponible a finales de 2019.
Hasta la publicación de las actualizaciones, ABB recomienda utilizar librerías IEC 61131 obtenidas únicamente de fuentes confiables.
La vulnerabilidad se origina en los componentes activos en la documentación de la librería IEC 61131-3. En el entorno de desarrollo se muestran estos componentes activos sin ningún proceso de validación, pudiendo permitir a un atacante la ejecución de código JavaScript o ActiveX.
