SCHNEIDER ELECTRIC. Desbordamiento de búfer en el Driver Serial Modbus

El investigador de Risk-Based Security, Carsten Eiram, ha identificado una vulnerabilidad de desbordamiento de búfer en el driver Modbus Serial que afecta a 11 productos de Schneider Electric, con nivel asignado de Importancia: 5 - Crítica

Detalle e Impacto de la vulnerailidad

• El driver Modbus Serial (ModbusDrv.exe), abre un servicio en escucha en el puerto 27700/TCP. Cuando se establece una conexión, la cabecera de la aplicación Modbus es leída del búfer. Si se especifica una cabecera suficientemente grande en el mismo, es posible provocar un desbordamiento búfer basado en pila, sobreescribir la dirección de retorno en el flujo de ejecución y lograr el control del mismo para ejecutar código arbitrario.
• La explotación de esta vulnerabilidad podría causar un desbordamiento de búfer y conseguir ejecutar código arbitrario con privilegios del usuario que ejecuta el software. Esta vulnerabilidad es explotable remotamente

Recursos afectados

Los siguientes productos de Schneider Electric implementan el driver Modbus Serial (ModbusDrv.exe), el cual se arranca cuando se intenta conectar con un controlador PLC (Programmable Logic Controller) a través del puerto serie de un ordenador personal:

1. TwidoSuite versiones 2.31.04 y anteriores,
2. PowerSuite versiones 2.6 y anteriores,
3. SoMove versiones 1.7 y anteriores,
4. SoMachine versiones 2.0, 3.0, 3.1, and 3.0 XS,
5. Unity Pro versiones 7.0 y anteriores,
6. UnityLoader versiones 2.3 y anteriores,
7. Concept versiones 2.6 SR7 y anteriores,
8. ModbusCommDTM sl versiones 2.1.2 y anteriores,
9. PL7 versiones 4.5 SP5 y anteriores,
10. SFT2841 versiones 14, 13.1 y anteriores,
11. OPC Factory Server versiones 3.50 y anteriores.

Las versiones Modbus Serial Driver que son afectadas son:

1. Windows XP 32 bit V1.10 IE v37,
2. Windows Vista 32 bit V2.2 IE12,
3. Windows 7 32 bit V2.2 IE12
4. Windows 7 64 bit V3.2 IE12.

Recomendación

• Schneider Electric ha publicado un aviso de seguridad sobre la vulnerablidad y su mitigación que puede consultarse en el siguiente enlace:  http://download.schneider-electric.com/files?p_Doc_Ref=SEVD%202013-070-01
• Schneider Electric recomienda la actualización de software de todos los productos que hagan uso del driver ModbusDrv.exe

Más información:

• Soporte Técnico Scheneider Electric  http://www2.schneider-electric.com/sites/corporate/en/products-services/services/field-services/services-by-business-activity/automation/lifecycle/technical-support.page
• Schneider Electric Modbus Driver Vulnerability  http://download.schneider-electric.com/files?p_Doc_Ref=SEVD%202013-070-01
• ISC-CERT. Schneider Electric Serial Modbus Driver Buffer Overflow https://ics-cert.us-cert.gov/advisories/ICSA-14-086-01

Fuente: INTECO