El software Progea Movicon utilizado para transferencia de ficheros en
controladores lógicos programables (PLC) podría permitir acceder de forma
remota a información de la versión interna del sistema operativo. La
vulnerarabilidad se la ha catalogado con nivel deImpo rtancia: 3 - Media
El software Progea Movicon proporciona conectividad basada en OPC para
la transferencia de datos, incluyendo OPC DA y OPC XML DA.
Detalle e impacto de la vulnerabilidad
- El modulo TCPUploader de este software permite conexiones entrantes a través del puerto 10651/TCP, por lo que un atacante remoto no autenticado podría utilizarlo para explotar esta vulnerabilidad, pudiendo acceder a información como la versión del sistema operativo.
- Las versiones de Progea Movicon 11.4 anteriores a Build 1150.
- Progea ha publicado la versión 11.4.1150 de su software Movicon que corrige esta vulnerabilidad y que puede descargarse desde su página web http://www.progea.com/it-it/downloads/software.aspx.
- ICSA-14-105-01: Progea Movicon SCADA Information Disclosure Vulnerability http://ics-cert.us-cert.gov/advisories/ICSA-14-105-01
