Se ha confirmado una vulnerabilidad en
diversos productos SCADA de Schneider Electric, que podrían permitir a un
atacante la realización de ataques de denegación de servicio.
Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.
Detalle e impacto de la vulneabilidad
- La vulnerabilidad se debe a un error al tratar determinados paquetes y podría provocar una excepción no controlada mediante el envío de un paquete específicamente creado a cualquiera de los procesos del servidor.
Recursos afectados
La vulnerabilidad se ha reportado en los siguientes productos y versiones:
- StruxureWare SCADA Expert Vijeo Citect versión 7.40
- Vijeo Citect versiones 7.20 a 7.30SP1
- CitectSCADA versiones 7.20 a 7.30SP1
- StruxureWare PowerSCADA Expert versiones 7.30 a 7.30SR1
- PowerLogic SCADA versiones 7.20 a 7.20SR1
Recomendación
Dada la relevancia que pueden tener este tipo
de sistemas en diferentes instalaciones, este problema está considerado como de
gravedad importante. Por lo que se recomienda actualizar los sitemas afectados
Con ese fin, Schneider Electric ha
publicado parches acumulativos para corregir el problema.
- SCADA Expert Vijeo Citect v7.40 http://www.citect.schneider-electric.com/se-vjc-HF740RTM607771
- Vijeo Citect v7.30 SP1 http://www.citect.schneider-electric.com/vc-HF730SP1607751
- Vijeo Citect v7.20 SP4 http://www.citect.schneider-electric.com/vc-HF720SP4607691
- CitectSCADA v7.40 http://www.citect.schneider-electric.com/cs-HF740RTM607771
- CitectSCADA v7.30 SP1 http://www.citect.schneider-electric.com/cs-HF730SP1607751
- CitectSCADA v7.20 SP4 http://www.citect.schneider-electric.com/cs-HF720SP4607691
- PowerSCADA Expert v7.30 SR1 http://www.citect.schneider-electric.com/pse-HF730SP1608004
- PowerLogic SCADA v7.20 SR1 http://www.citect.schneider-electric.com/pls-HF720SP460803
Más información:
- Una al día (19/02/2014) http://unaaldia.hispasec.com/2014/02/denegacion-de-servicio-en-productos.html
Fuente: Hispasec