Descubierta grave vulnerabidad que podría permitir ataque de Cross-Site Scripting
Reflefado. Dicha vulnerabilidad se ha catogado con Importancia: 4 - Alta
NC2 es un SCADA basado en web utilizado para la
monitorización de plantas de producción eólicas utilizado principalmente en
USA, Europa y China.
Recursos afectados
· Despliegues
de Nordex Control 2 (NC2) SCADA v16 y versiones anteriores
Detalle e Impacto de la
vulnerabilidad
La
vulnerabilidad permite la ejecución de un ataque de Cross-Site Scripting
Reflejado al no validar el parámetro "username" en el envío del
inicio de sesión. Esto puede permitir al atacante la ejecución de código
arbitrario en el navegador del usuario aprovechándose de la relación de confianza
entre su navegador y el servidor. El impacto en las organizaciones depende de
varios factores, por lo que lo recomendable es que cada organización evalúe el
impacto basándose en su entorno de operaciones, arquitectura y despliegue. Se
ha reservado para esta vulnerabilidad el CVE-2014-5408
Recomendación
Nordex publicará
un parche para todas las versiones afectadas. La actualización debe realizarla
Nordex. Nordex contactará con aquellos clientes con contratos de servicio en
vigor para realizar la actualización sin alterar sus dinámicas operacionales.
En caso de no tener un contrato en vigor, el parche puede ser solicitado
contactando con su oficina local de Nordex.
Más información
·
Advisory (ICSA-14-303-01) Nordex NC2 XSS Vulnerability
https://ics-cert.us-cert.gov/advisories/ICSA-14-303-01
Fuente: INCIBE (antes INTECO)
