Blog de Informática y Seguridad en Internet: SCADA DE SCHNEIDER ELECTRIC. Denegación de servicio en sus productos

20 de febrero de 2014

SCADA DE SCHNEIDER ELECTRIC. Denegación de servicio en sus productos

Se ha confirmado una vulnerabilidad en diversos productos SCADA de Schneider Electric, que podrían permitir a un atacante la realización de ataques de denegación de servicio.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.

Detalle e impacto de la vulneabilidad

La vulnerabilidad se debe a un error al tratar determinados paquetes y podría provocar una excepción no controlada mediante el envío de un paquete específicamente creado a cualquiera de los procesos del servidor.

Recursos afectados

La vulnerabilidad se ha reportado en los siguientes productos y versiones:

StruxureWare SCADA Expert Vijeo Citect versión 7.40
Vijeo Citect versiones 7.20 a 7.30SP1
CitectSCADA versiones 7.20 a 7.30SP1
StruxureWare PowerSCADA Expert versiones 7.30 a 7.30SR1
PowerLogic SCADA versiones 7.20 a 7.20SR1

Recomendación

Dada la relevancia que pueden tener este tipo de sistemas en diferentes instalaciones, este problema está considerado como de gravedad importante. Por lo que se recomienda actualizar los sitemas afectados

Con ese fin, Schneider Electric ha publicado parches acumulativos para corregir el problema.