11 de octubre de 2013

Vulnerabilidad en Alstom e-Terracontrol DNP3

El software de Alstom e-Terracontrol valida incorrectamente la entrada de datos. La vulnerabilidad, con CVE-2013-2787, ha sido catalogada como crítica.
Recursos afectados
e-Terracontrol, versiones 3.5, 3.6 y 3.7
Detalle e Impacto de la vulnerabilidad
  • El software de Alstom e-Terracontrol no valida o lo hace incorrectamente, la entrada de datos.
  • Un atacante podría causar un bucle infinito y hacer que el proceso termine. El sistema tendría que ser reiniciado manualmente para volver a operar.
  • La vulnerabilidad con identifcador CVE-2013-2787, puede ser explotada remotamente y no se requieren grandes conocimientos para explotarla.
Recomendación
  • Alstom ha desarrollado un parche disponible para su desacarga desde el portal Alstom Grid Customer Wise. Contacte con su representante para obtener los detalles de la descarga.
Más información
Alstom e-Terracontrol DNP3 Master Improper Input Validation http://ics-cert.us-cert.gov/advisories/ICSA-13-282-01
Fuente: Inteco