Denegación de servicio en el controlador SPC de Siemens

Fecha de publicación:

06/03/2015

Importancia:

4 - Alta

Recursos afectados:

Los siguientes controladores de SPC se ven afectados:

Serie SPC4000: Todas las versiones anteriores a la V3.6.0,
Serie SPC5000: Todas las versiones anteriores a la V3.6.0
Serie SPC6000: Todas las versiones anteriores a la V3.6.0

Descripción:

El investigador Davide Peruzzi, de GoSecure! ha descubierto una vulnerabilidad de Denegación de Servicio en los controladores SPC de Siemens.

Solución:

Siemens ha lanzado una actualización del firmware, la SPC V3.6.0 para resolverla.

Detalle:

Mediante el envío de paquetes especialmente diseñados al interfaz web es posible provocar el reinicio del sistema, provocando de este modo la denegación del servicio.

Se ha reservado la CVE-2014-9369.

Es posible explotar el fallo de manera remota, siempre y cuando el atacante tenga acceso de red al panel del interfaz web.

Referencias:

Siemens SPC Controller Series Denial-of-Service Vulnerability

SSA-335471: Denial-of-Service Vulnerability in SPC Controller Series

Etiquetas:

SCADA

Vulnerabilidad

Siemens

Accesos corporativos

Denegación de servicio en el controlador SPC de Siemens

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Múltiples vulnerabilidades en InHand Networks InRouter302

Múltiples vulnerabilidades en Cambium Networks cnMaestro