Schneider Electric ha informado de un fallo relacionado con la existencia de una clave incrustada en el código (hard-coded) para el cifrado en las comunicaciones de los dispositivos Schneider Electric’s J-Series Radios. La vulnerabilidad ha sido catalogada con nivel alto de importancia.
Recursos afectados
Los dispositivos Schneider Electric Trio J-Series Radio con versiones de firmware V3.6.0, V3.6.1, V3.6.2 y V3.6.3 afectados son los siguientes:
- TBURJR900-00002DH0
- TBURJR900-01002DH0
- TBURJR900-05002DH0
- TBURJR900-06002DH0
- TBURJR900-00002EH0
- TBURJR900-01002EH0
- TBURJR900-05002EH0
- TBURJR900-06002EH0.
Impacto de la vulnerabilidad
- Un atacante podría aprovechar este fallo y para obtener el control del dispositivo o incluso para acceder a la red en la que se encuentra instalado.
- Aunque no se conoce la existencia pública de algún exploit, la vulnerabilidad puede ser explotada remotamente.
Recomendación
- Actualizar el firmware de los productos afectados con la actualización ofrecida por el fabricante Schneider desde el siguiente enlace: http://www2.schneider-electric.com/sites/corporate/en/support/cybersecurity/cybersecurity.page
Más información
- Aviso del ICS-CERT https://ics-cert.us-cert.gov/advisories/ICSA-13-234-01
Fuente: Inteco
