Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/02/2014
Vulnerabilidad DoS en productos Schneider Electric SCADA
El investigador Carsten Eiram, de Risk Based Security, ha identificado una vulnerabilidad en el manejo de excepciones en la aplicación CitectSCADA de Schneier Electric. La vulnerabilidad podría ser explotada remotamente.Riesgo: Alto
Un atacante remoto podría causar una denegación de servicio mediante el aprovechamiento de esta vulnerabilidad, enviando un paquete especialmente manipulado a alguno de los procesos del servidor. Podría ser necesario reiniciar el software para recuperarse de un ataque con éxito.
Se ha asignado el CVE-2013-2824 a esta vulnerabilidad, con un CVSS v2 de 7.8.
- StruxureWare SCADA Expert Vijeo Citect v7.40.
- Vijeo Citect v7.20 a v7.30SP1.
- CitectSCADA v7.20 a v7.30SP1.
- StruxureWare PowerSCADA Expert v7.30 a v7.30SR1.
- PowerLogic SCADA v7.20 a v7.20SR1.
CVE-2013-2824
Solución:Schneider Electric ha publicado parches acumulativos que solucionan el problema. Estos parches están disponibles para todos los productos afectados:
- HF740RTM60777.1 para SCADA Expert Vijeo Citect v7.40
- HF730SP160775.1 para Vijeo Citect v7.30 SP1
- HF720SP460769.1 para Vijeo Citect v7.20 SP4
- HF740RTM60777.1 para CitectSCADA v7.40
- HF730SP160775.1 para CitectSCADA v7.30 SP1
- HF720SP460769.1 para CitectSCADA v7.20 SP4
- HF730SP1608004 para PowerSCADA Expert v7.30 SR1
- HF720SP460803 para PowerLogic SCADA v7.20 SR1
Notas:
Schneider Electric SCADA Products Exception Handler Vulnerability
Fuente: Inteco-CERT