Cabecera-v2-web.jpg

Vulnerabilidad en Schneider Electricꞌs software


Se ha descubierto una vulnerabilidad en InduSoft Web Studio y InTouch Machine Edition de Schneider Electricꞌs, reportada por Aaron Portnoy. Esta vulnerabilidad de gravedad alta, permitirí­a a un atacante remoto ejecutar código arbitrario.

SchneiderElectric.png

Indusoft Web Studio es una colección de herramientas de desarrollo de HMI, sistemas SCADA y componentes integrados. InTouch Machine Edition permite crear aplicaciones HMI de manera intuitiva y segura para su uso en dispositivos inteligentes y en una amplia gama de dispositivos embebidos de bajo nivel.


La vulnerabilidad con CVE-2017-14024, se debe a un error en la subscripción de etiquetas en clientes HMI que podrí­a causar un desbordamiento de memoria intermedia basada en pila. Esto podrí­a ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.

Afecta a las versiones:

  • InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
  • InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.

Se recomienda actualizar a versiones superiores.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11