Se han descubierto cinco vulnerabilidades en el software ProClima de Schneider Electric’s, reportadas por HP’s Zero Day Initiative (ZDI). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario.
ProClima es un software de configuración especialmente utilizado en el sector energético, orientado en el diseño de paneles de control de gestión térmica. Permite optimizar y fiabilizar las instalaciones eléctricas/electrónicas ofreciendo soluciones térmicas acorde a las circunstancias.
Las vulnerabilidades se pueden dividir según el control ActiveX usado para su explotación.
-
MDraw30.ocx : Este control ActiveX podría ser utilizado por un atacante remoto para ejecutar código arbitrario a través de llamadas especialmente manipuladas a este control especifico. La vulnerabilidad podría causar un desbordamiento de memoria intermedia lo que provocaría el impacto actualmente comentado. Se han asignado los CVE-2014-8513, CVE-2014-8514, y CVE-2014-9188.
- Atx45.ocx: Al igual que en las vulnerabilidades anteriormente comentadas, el atacante remoto podría explotar este control ActiveX para ejecutar código arbitrario remotamente, debido también a un desbordamiento de memoria intermedia. Se han asignados los CVE-2014-8511y CVE-2014-8512.
Estas vulnerabilidades se han reportado en la versión Schneider Electric VProClima Versión 6.0.1 y anteriores.
Se recomienda actualizar a VProClima Versión 6.1.7 o superior, disponible desde:
Más información:
ProClima – Thermal calculation software
ProClima Software Vulnerability Disclosure
Juan Sánchez
