Múltiples vulnerabilidades en productos de ABB

Fecha de publicación 16/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • ABB Ability™ Symphony®Plus:
    • S+ Operations 1.1;
    • S+ Operations 2.0, todos los Service Packs;
    • S+ Operations 2.1, Service Pack 1 (SP1), para Melody y otros Heritage systems;
    • S+ Operations 2.1, Service Pack 2 (SP2);
    • S+ Operations 3.0;
    • S+ Operations 3.1;
    • S+ Operations 3.2;
    • S+ Operations 3.3.
  • ABB Ability™ Symphony®Plus:
    • S+ Historian 3.0 y 3.1.
  • ABB Central Licensing System (CLS) en ABB Ability™ Symphony Plus Operations (desde la 3.0 hasta la 3.3);
  • ABB Central Licensing System (CLS) en ABB Ability™ Symphony Plus Engineering (desde la 1.0 hasta la 2.3);
  • ABB Central Licensing System (CLS) en Composer Harmony (5.1, 6.0 y 6.1);
  • ABB Central Licensing System (CLS) en Composer Melody (5.3 y 6.1);
  • ABB Central Licensing System (CLS) en HarmonyOPC Server (6.0, 6.1 y 7.0).
Descripción

ABB ha publicado múltiples vulnerabilidades que podrían permitir a un atacante abusar de las funcionalidades de los productos afectados.

Solución
  • Para S+ Operations:
    • Actualizar a la versión 3.3 Service Pack 1.
  • Para S+ Operations, versiones anteriores a la 3.X, se esperan tres actualizaciones:
    • Q4 2020: S+ Operations 2.1 SP 2 Rollup 2 (Harmony, SD y Freelance);
    • Q1 2021: S+ Operations 2.2 (Melody y Procontrol P14);
    • Q3 2021: S+ Operations 2.2 Rollup 1 (Procontrol P13).
  • Para ABB Ability™ Symphony®Plus:
    • Actualizar a S+ Historian 3.2.
  • Para Sym-phony Plus, Composer Harmony, Composer Melody y HarmonyOPC Server:
    • Actualizar a la última versión disponible y aplicar las medidas de seguridad genéricas, descritas en el aviso 2PAA121231.
Detalle
  • Las vulnerabilidades críticas que afectan al producto ABB Ability™ Symphony®Plus Operations y ABB Ability™ Symphony®Plus Historian, son del tipo:
    • SQL Injection. Se ha asignado el identificador CVE-2020-24673 para esta vulnerabilidad.
    • Método de autenticación débil. Se ha asignado el identificador CVE-2020-24675 para esta vulnerabilidad.
    • Omisión de autenticación. Solo afecta a S+ Operations. Se ha asignado el identificador CVE-2020-24683 para esta vulnerabilidad.
  • Las vulnerabilidades críticas que afectan a los productos Sym-phony Plus, Composer Harmony, Composer Melody y HarmonyOPC Server, son del tipo:
    • XXE. Se ha asignado el identificador CVE-2020-8479 para esta vulnerabilidad.
    • Divulgación de información. Se ha asignado el identificador CVE-2020-8481 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-24674, CVE-2020-24676, CVE-2020-24677, CVE-2020-24678, CVE-2020-24679, CVE-2020-24680,  CVE-2020-8481 y CVE-2020-8471.

Encuesta valoración

Listado de referencias
SECURITY Multiple Vulnerabilities in Symphony® Plus Operations
SECURITY Multiple Vulnerabilities in Symphony® PlusHistorian
SECURITY ABB Central Licensing System Vulnerabilities, impact on Symphony® Plus, Composer Harmony, Composer Melody, Harmony OPC Server
SECURITYMultipleVulnerabilitiesinABBCentralLicensingSystem
Etiquetas