miércoles, 19 de febrero de 2014

Denegación de servicio en productos SCADA de Schneider Electric

Se ha confirmado una vulnerabilidad en diversos productos SCADA de Schneider Electric, que podrían permitir a un atacante la realización de ataques de denegación de servicio.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.

La vulnerabilidad se debe a un error al tratar determinados paquetes y podría provocar una excepción no controlada mediante el envío de un paquete específicamente creado a cualquiera de los procesos del servidor.

La vulnerabilidad se ha reportado en los siguientes productos y versiones:
  • StruxureWare SCADA Expert Vijeo Citect versión 7.40
  • Vijeo Citect versiones 7.20 a 7.30SP1
  • CitectSCADA versiones 7.20 a 7.30SP1
  • StruxureWare PowerSCADA Expert versiones 7.30 a 7.30SR1
  • PowerLogic SCADA versiones 7.20 a 7.20SR1

Dada la relevancia que pueden tener este tipo de sistemas en diferentes instalaciones, este problema está considerado como de gravedad importante.

Schneider Electric ha publicado parches acumulativos para corregir el problema.

Más información:

Important security notification – Cumulative update for SCADA Expert Vijeo Citect / CitectSCADA / PowerSCADA Expert



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada