miércoles, 31 de diciembre de 2014

Vulnerabilidades descubiertas en Schneider Electric’s ProClima software

Se han descubierto cinco vulnerabilidades en el software ProClima de Schneider Electric’s, reportadas por HP’s Zero Day Initiative (ZDI). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario.

ProClima es un software de configuración especialmente utilizado en el sector energético, orientado en el diseño de paneles de control de gestión térmica. Permite optimizar y fiabilizar las instalaciones eléctricas/electrónicas ofreciendo soluciones térmicas acorde a las circunstancias.

Las vulnerabilidades se pueden dividir según el control ActiveX usado para su explotación.

  • MDraw30.ocx : Este control ActiveX podría ser utilizado por un atacante remoto para ejecutar código arbitrario a través de llamadas especialmente manipuladas a este control especifico. La vulnerabilidad podría causar un desbordamiento de memoria intermedia lo que provocaría el impacto actualmente comentado. Se han asignado los CVE-2014-8513, CVE-2014-8514, y CVE-2014-9188.
        
  • Atx45.ocx: Al igual que en las vulnerabilidades anteriormente comentadas, el atacante remoto podría explotar este control ActiveX para ejecutar código arbitrario remotamente, debido también a un desbordamiento de memoria intermedia. Se han asignados los CVE-2014-8511y CVE-2014-8512.

Estas vulnerabilidades se han reportado en la versión Schneider Electric VProClima Versión 6.0.1 y anteriores.
Se recomienda actualizar a VProClima Versión 6.1.7 o superior, disponible desde:

Más información:

ProClima - Thermal calculation software

ProClima Software Vulnerability Disclosure




Juan Sánchez


No hay comentarios:

Publicar un comentario en la entrada