lunes, 20 de noviembre de 2017

Vulnerabilidad en Schneider Electric’s software

Se ha descubierto una vulnerabilidad en InduSoft Web Studio y InTouch Machine Edition de Schneider Electric’s, reportada por Aaron Portnoy. Esta vulnerabilidad de gravedad alta, permitiría a un atacante remoto ejecutar código arbitrario.


Indusoft Web Studio es una colección de herramientas de desarrollo de HMI, sistemas SCADA y componentes integrados. InTouch Machine Edition permite crear aplicaciones HMI de manera intuitiva y segura para su uso en dispositivos inteligentes y en una amplia gama de dispositivos embebidos de bajo nivel.


La vulnerabilidad con CVE-2017-14024, se debe a un error en la subscripción de etiquetas en clientes HMI que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.

Afecta a las versiones:

  • InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
  • InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.
Se recomienda actualizar a versiones superiores.


Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).



Juan Sánchez
jasanchez@hispasec.com

Más información:

Security Bulletin LFSEC00000124
www.schneider-electric.com