Adam Crain de Automatak y el investigador independiente Chris Sistrunk y Adam Todorski han identificado una validación incorrecta de entradas en la aplicación Elecsys Director Gateway. La vulnerabilidad se ha catalogado de importancia media.
Recursos afectados
Elecsys Director DNP3 Outstation, kernel v2.6.32.11ael1 y todas las versiones anteriores.
Detalle e impacto de la vulnerabilidad
- El servicio DNP3 en Elecsys Director Gateway valida incorrectamente las entradas.
- La explotación correcta de esta vulnerabilidad podría permitir a un atacante afectar a la disponiblidad de la comunicación maestro-esclavo de DNP3 en los dispositivos Elecsys Director Gateway, deshabilitar las comunicaciones e inducir una alta carga al sistema durante un período breve de tiempo.
- La vulnerabilidad podría ser explotada remotamente.
Recomendación
Elecsys ha creado un parche para mitigar esta vulnerabilidad. Los clientes pueden obtenerlo contactando con el servicio de atención al cliente de Elecsys en 913-647-0158 ó info@elecsyscorp.com.
Más información
Elecsys Director Gateway Improper Input Validation Vulnerability http://ics-cert.us-cert.gov/advisories/ICSA-13-337-01
Fuente: Inteco
