Un investigador ha descubierto una vulnerabilidad de
inyección SQL que afecta al software "CSWorks framework" de la
compañía Control System Works, quien ya ha solucionado el problema publicando
una actualización de este producto. La vulnerabilidad ha sido catalogada con
nivel de Importancia: 5 - Crítica
Recursos afectados
- Versiones del software CSWorks framework anteriores a la versión: 2.5.5233.0
Recomendación
- La compañía CSWorks ha solucionado este problema con la actualización 2.5.5233.0 que puede descargarse desde el siguiente enlace:
- Descarga de la versión 2.5.5233.0 http://www.controlsystemworks.com/DownloadDescription.aspx
Detalle e Impacto de la
vulnerabilidad
- La aplicación CSWorks framework, es un entorno de trabajo basado en web que puede ser utilizado para desarrollar aplicaciones para el control de procesos orientados, según la compañía que lo ha desarrollado, en instalaciones comerciales, comunicaciones, etc. y se encuentra desplegado principalmente en Noruega, Rusia y España.
- El problema del fallo de seguridad de este software, es que las aplicaciones desarrolladas con el mismo podrían adolecer de vulnerabilidades de inyección de SQL. El impacto sobre las empresas que usan este software, dependerá de la función que desempeñe la aplicación desarrollada, es decir, si el proceso controlado por la aplicación creada con CSWorks framework es crítico la vulnerabilidad será crítica. Serán pues las compañías que utilicen este software para desarrollar las que deban evaluar el impacto.
- La vulnerabilidad descubierta, aunque no existen exploits públicos, podría ser explotada remotamente por atacantes sin demasiados conocimientos en seguridad.
Más información
- Información adicional acerca de la vulnerabilidad (CSWorks) http://www.controlsystemworks.com/blogengine/post/2014/05/08/Important-CSWorks-security-release-2552330
- Aviso ICS-CERT: ICSA-14-135-01 https://ics-cert.us-cert.gov/advisories/ICSA-14-135-01
Fuente: Inteco.es