Se
ha identificado una vulnerabilidad de denegación de servicio en la aplicación
Elipse SCADA, debido a un error de tratamiento de DNP3. Elipse ha producido una
nueva versión del controlador DNP3 que soluciona esta vulnerabilidad.. Esta vulnerabilidad se puede utilizar de
forma remota y se ha catalogado con Importancia: 3 - Media
Recursos
afectados
- Elipse
SCADA 2.29 build 141 y anteriores w/ DNP3 driver.
- Elipse
E3 versiones V1.0 a V4.6.
- Elipse Power systems Versions V1.0 a V4.6
- DNP
3.0 Master v3.02 y anteriores.
Detalle
e Impacto de la vulnerabilidad
- La
vulnerabilidad, confirmada por Elipse, consiste en el envío de paquetes de
datos con errores de formato. Este fallo en los sistemas Elipse E3 y
Elipse Power provoca la falta de disponibilidad de forma temporal (unos 30
segundos), sin embargo el sistema Elipse SCADA deja de estar disponible
hasta que se reinicie manualmente el sistema.
Recomendación
- Elipse
ha liberado una versión de DNP Maestro Conductor (V.4.0.21) que corrige
este problema. http://www.elipse.com.br/eng/download_drivers.aspx
Más
información
- Elipse SCADA DNP3 Denial of Service https://ics-cert.us-cert.gov/advisories/ICSA-14-303-02
- Elipse Software http://www.elipse.com.br/eng/download_drivers.aspx