Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos ABB

Fecha de publicación: 22/04/2020

Importancia: Crítica

Recursos afectados:

  • OPC Server for AC 800M, todas las versiones;
  • MMS Server for AC 800M, todas las versiones;
  • Base Software for SoftControl, todas las versiones;
  • 800xA for DCI, todas las versiones;
  • 800xA for MOD300, todas las versiones;
  • 800xA RNRP, todas las versiones;
  • ABB System 800xA Base, todas las versiones;
  • 800xA Batch Management, todas las versiones;
  • 800xA Information Management, todas las versiones;
  • ABB AbilityTM System 800xA y extensiones de sistemas relacionados 5.1, 6.0 y 6.1;
  • Compact HMI 5.1, 6.0;
  • Control Builder Safe 1.0, 1.1 y 2.0;
  • ABB AbilityTM Symphony® Plus - S Operations, desde la 3.0 a la 3.2;
  • ABB AbilityTM Symphony® Plus - S Engineering, desde la 1.1 a la 2.2;
  • Composer Harmony 5.1, 6.0 y 6.1;
  • Composer Melody, versiones Melody Composer 5.3, Melody Composer 6.1 / 6.2 y SPE for Melody 1.0 SPx (Composer 6.3);
  • Harmony OPC Server (HAOPC) Standalone 6.0, 6.1 y 7.0;
  • ABBAbility TM System 800xA / Advant® OCS Control Builder A, 1.3 y 1.4;
  • Advant® OCS AC 100 OPC Server 5.1, 6.0 y 6.1;
  • Composer CTK, CTK 6.1, 6.2;
  • AdvaBuild, versiones 3.7 SP1 y 3.7 SP2;
  • OPC Server for MOD300 (non-800xA), 1.4;
  • OPC DataLink 2.1, 2.2;
  • ABB AbilityTM Knowledge Manager 8.0, 9.0 ,9.1;
  • ABB AbilityTM Manufacturing Operations Management 1812 y 1909;
  • ABB Central Licensing System (CLS) en System 800xA versiones 5.1, 6.0 y 6.1;
  • ABB Central Licensing System (CLS) en Compact HMI versiones 5.1 y 6.0;
  • ABB Central Licensing System (CLS) en Control Builder Safe versiones 1.0,1.1 y 2.0.

Descripción:

Se han publicado múltiples vulnerabilidades en productos ABB, dos de severidad crítica, seis altas y cinco medias, que podrían permitir a un atacante obtener el control completo del sistema, acceder al servidor de licencias, bloquear el manejo de licencias, modificar las licencias asignadas al sistema de nodos, escalar privilegios, ejecutar código arbitrario, hacer accesible el nodo del sistema o manipular los datos en tiempo de ejecución del sistema.

Solución:

Los productos se actualizarán próximamente. Mientras tanto, deberán tomarse las medidas de mitigación disponibles en la sección de Referencias.

Detalle:

  • La información confidencial almacenada en ficheros no protegidos podría permitir a un atacante obtener el control completo del sistema. Se ha reservado el identificador CVE-2020-8481 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad del tipo inyección de Entidad Externa XML, podría permitir a un atacante leer o llamar a archivos arbitrarios desde el servidor de licencias y/o desde la red o bloquear el manejo de la licencia. Se ha reservado el identificador CVE-2020-8479 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad de permisos inadecuados de archivos podría permitir a un atacante bloquear el manejo de licencias, escalar privilegios o ejecutar código arbitrario. Se ha reservado el identificador CVE-2020-8471 para esta vulnerabilidad de severidad alta.
  • Una vulnerabilidad de denegación de servicio podría permitir a un atacante bloquear el manejo de la licencia. Se ha reservado el identificador CVE-2020-8475 para esta vulnerabilidad de severidad media.
  • Una vulnerabilidad de escalada de privilegios podría permitir a un atacante modificar las licencias asignadas al sistema de nodos. Se ha reservado el identificador CVE-2020-8476 para esta vulnerabilidad de severidad media.
  • Existe un riesgo potencial de denegación de servicio o de manipulación en los nodos del Sistema 800xA, que podría permitir a un atacante hacer accesible el nodo del sistema o manipular los datos en tiempo de ejecución del sistema. Se han asignado los identificadores CVE-2020-8478, CVE-2020-8484, CVE-2020-8485, CVE-2020-8486, CVE-2020-8487, CVE-2020-8488 y CVE-2020-8489 para estas vulnerabilidades de severidades medias y altas.

Etiquetas: Vulnerabilidad