Denegación de servicio en el controlador SPC de Siemens

Fecha de publicación:

06/03/2015

Importancia:

4 - Alta

Recursos afectados:

Los siguientes controladores de SPC se ven afectados:

Serie SPC4000: Todas las versiones anteriores a la V3.6.0,
Serie SPC5000: Todas las versiones anteriores a la V3.6.0
Serie SPC6000: Todas las versiones anteriores a la V3.6.0

Descripción:

El investigador Davide Peruzzi, de GoSecure! ha descubierto una vulnerabilidad de Denegación de Servicio en los controladores SPC de Siemens.

Solución:

Siemens ha lanzado una actualización del firmware, la SPC V3.6.0 para resolverla.

Detalle:

Mediante el envío de paquetes especialmente diseñados al interfaz web es posible provocar el reinicio del sistema, provocando de este modo la denegación del servicio.

Se ha reservado la CVE-2014-9369.

Es posible explotar el fallo de manera remota, siempre y cuando el atacante tenga acceso de red al panel del interfaz web.

Referencias:

Siemens SPC Controller Series Denial-of-Service Vulnerability

SSA-335471: Denial-of-Service Vulnerability in SPC Controller Series

Etiquetas:

SCADA

Vulnerabilidad

Siemens

Accesos corporativos

Denegación de servicio en el controlador SPC de Siemens

Múltiples vulnerabilidades en varios productos de MB connect line

Vulnerabilidades en productos de Bosch con sistemas de comunicación CODESYS

Referencia a puntero nulo en módulos de interfaz Ethernet MELSEC-F de Mitsubishi Electric

Vulnerabilidad de falta de autenticación en WebAccess/NMS de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech