De populaire hackertool Metasploit van Rapid7 is uitgebreid met een module waarmee controlesystemen van gebouwen kunnen worden aangevallen. Door een kwetsbaarheid in de software van het besturingsplatform van Honeywell kan een aanvaller op afstand controle over het systeem krijgen.
Een onderzoeker van Rapid7 ontdekte een beveiligingslek in de Honeywell Enterprise Buildings Integrator (EBI). Dit platform biedt integrale aansturing van systemen en apparaten in gebouwen, waaronder verwarming, ventilatie en airconditioning (HVAC), beveiliging, toegangscontrole, verlichting, energiebeheer en facilitair beheer.
Het beveiligingslek is gevonden in de HSC Remote Deploy ActiveX (HSCRemoteDeploy.dll) en kan worden gebruikt om willekeurige code uit te voeren. Aan deze kwetsbaarheid is door NIST nummer CVE-2013-0108 toegekend.
De kwetsbaarheid is al op 8 januari 2013 door Rapid7 ontdekt, twee dagen later was hiervoor een Metasploit-module beschikbaar. Conform het beleid van Rapid7 is vervolgens leverancier Honeywell geïnformeerd over het lek. Honeywell bracht op 22 februari een update van de software uit waarmee het lek wordt gedicht.