Denegación de servicio en el controlador SPC de Siemens

Fecha de publicación:

06/03/2015

Importancia:

4 - Alta

Recursos afectados:

Los siguientes controladores de SPC se ven afectados:

Serie SPC4000: Todas las versiones anteriores a la V3.6.0,
Serie SPC5000: Todas las versiones anteriores a la V3.6.0
Serie SPC6000: Todas las versiones anteriores a la V3.6.0

Descripción:

El investigador Davide Peruzzi, de GoSecure! ha descubierto una vulnerabilidad de Denegación de Servicio en los controladores SPC de Siemens.

Solución:

Siemens ha lanzado una actualización del firmware, la SPC V3.6.0 para resolverla.

Detalle:

Mediante el envío de paquetes especialmente diseñados al interfaz web es posible provocar el reinicio del sistema, provocando de este modo la denegación del servicio.

Se ha reservado la CVE-2014-9369.

Es posible explotar el fallo de manera remota, siempre y cuando el atacante tenga acceso de red al panel del interfaz web.

Referencias:

Siemens SPC Controller Series Denial-of-Service Vulnerability

SSA-335471: Denial-of-Service Vulnerability in SPC Controller Series

Etiquetas:

SCADA

Vulnerabilidad

Siemens

Accesos corporativos

Denegación de servicio en el controlador SPC de Siemens

Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en productos de ABB

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Desbordamiento de búfer en múltiples productos de Hirschmann