Denegación de servicio en el controlador SPC de Siemens

Fecha de publicación:

06/03/2015

Importancia:

4 - Alta

Recursos afectados:

Los siguientes controladores de SPC se ven afectados:

Serie SPC4000: Todas las versiones anteriores a la V3.6.0,
Serie SPC5000: Todas las versiones anteriores a la V3.6.0
Serie SPC6000: Todas las versiones anteriores a la V3.6.0

Descripción:

El investigador Davide Peruzzi, de GoSecure! ha descubierto una vulnerabilidad de Denegación de Servicio en los controladores SPC de Siemens.

Solución:

Siemens ha lanzado una actualización del firmware, la SPC V3.6.0 para resolverla.

Detalle:

Mediante el envío de paquetes especialmente diseñados al interfaz web es posible provocar el reinicio del sistema, provocando de este modo la denegación del servicio.

Se ha reservado la CVE-2014-9369.

Es posible explotar el fallo de manera remota, siempre y cuando el atacante tenga acceso de red al panel del interfaz web.

Referencias:

Siemens SPC Controller Series Denial-of-Service Vulnerability

SSA-335471: Denial-of-Service Vulnerability in SPC Controller Series

Etiquetas:

SCADA

Vulnerabilidad

Siemens

Accesos corporativos

Denegación de servicio en el controlador SPC de Siemens

Múltiples vulnerabilidades en RCC de Horner Automation

Vulnerabilidad de falta de protección en la interfaz de las bombas BD BodyGuard

Múltiples vulnerabilidades en productos Hitachi Energy

Múltiples vulnerabilidades en productos de Festo

Vulnerabilidad de cifrado débil en la aplicación de arranque CODESYS V3