Los productos Hydran M2 de GE Digital Energy producen números
iniciales de secuencia predecibles en conexiones TCP. La vulnerabilidad fue
corregida en los productos liberados después de octubre de 2014. Dicha
vulnerabilidad se ha ctalogado de Importancia: 3 - Media
Recursos afectados
- Hydran M2, con la opción 17046 Ethernet, liberada anteriormente a Octubre 2014.
- El producto Hydran M2 de GE Digital Energy, con la opción 17046 Ethernet, genera números de secuencia iniciales predecibles en TCP. Esto puede permitir a un atacante manipular o suplantar conexiones TCP, pudiendo provocar una denegación de servicio o la transmisión de datos imprecisos. Esta vulnerabilidad se puede aprovechar de forma remota.
- Se ha reservado el identificador CVE-2014-5409 para esta vulnerabilidad.
- No existe un método para actualizar los dispositivos Hydran M2 liberados antes de octubre de 2014. GE Digital Energy recomienda que los servicios públicos que utilizan versiones anteriores del dispositivo Hydran M2 implementen medidas de seguridad de red.
- GE Hydran M2 Predictable TCP Initial Sequence Vulnerability https://ics-cert.us-cert.gov/advisories/ICSA-15-041-02