Se ha confirmado una vulnerabilidad en diversos productos SCADA de Schneider Electric, que podrían permitir a un atacante la realización de ataques de denegación de servicio.
Los sistemas SCADA son sistemas de «adquisición de datos y control de supervisión«, muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.
La vulnerabilidad se debe a un error al tratar determinados paquetes y podría provocar una excepción no controlada mediante el envío de un paquete específicamente creado a cualquiera de los procesos del servidor.
La vulnerabilidad se ha reportado en los siguientes productos y versiones:
- StruxureWare SCADA Expert Vijeo Citect versión 7.40
- Vijeo Citect versiones 7.20 a 7.30SP1
- CitectSCADA versiones 7.20 a 7.30SP1
- StruxureWare PowerSCADA Expert versiones 7.30 a7.30SR1
- PowerLogic SCADA versiones 7.20 a 7.20SR1
Dada la relevancia que pueden tener este tipo de sistemas en diferentes instalaciones, este problema está considerado como de gravedad importante.
Schneider Electric ha publicado parches acumulativos para corregir el problema.
SCADA Expert Vijeo Citect v7.40 http://www.citect.schneider-electric.com/se-vjc-HF740RTM607771
Vijeo Citect v7.30 SP1 http://www.citect.schneider-electric.com/vc-HF730SP1607751
Vijeo Citect v7.20 SP4 http://www.citect.schneider-electric.com/vc-HF720SP4607691
CitectSCADA v7.40 http://www.citect.schneider-electric.com/cs-HF740RTM607771
CitectSCADA v7.30 SP1 http://www.citect.schneider-electric.com/cs-HF730SP1607751
CitectSCADA v7.20 SP4 http://www.citect.schneider-electric.com/cs-HF720SP4607691
PowerSCADA Expert v7.30 SR1 http://www.citect.schneider-electric.com/pse-HF730SP1608004
PowerLogic SCADA v7.20 SR1 http://www.citect.schneider-electric.com/pls-HF720SP460803
Más información:
Important security notification – Cumulative update for SCADA Expert Vijeo Citect / CitectSCADA / PowerSCADA Expert
Antonio Ropero
Twitter: @aropero
Deja una respuesta