Inicio / Alerta Temprana / Avisos Sci / Desbordamiento de búfer en productos RSLogix de Rockwell Automation

Desbordamiento de búfer en productos RSLogix de Rockwell Automation

Fecha de publicación: 
16/09/2016
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados son los siguientes:

  • RSLogix Micro Starter Lite, todas las versiones
  • RSLogix Micro Developer, todas las versiones
  • RSLogix 500 Starter Edition, todas las versiones
  • RSLogix 500 Standard Edition, todas las versiones
  • RSLogix 500 Professional Edition, todas las versiones
Descripción: 

El investigador Ariele Caltabiano (kimiya) trabajando con Trend Micro’s Zero Day Initiative ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en diversos productos de la familia RSLogix de Rockwell Automation.

Solución: 
  • Actualizar el firmware de los productos afectados a la versión 8.40.00 y aplicar el parche KB878490

Adicionalmente, Rockwell Automation aconseja adoptar medidas adicionales de seguridad para mitigar la vulnerabilidad. Si es posible, emplear varias simultáneamente:

  • No abrir ficheros RSS no confiables en los dispositivos RSLogix
  • Ejecutar todas las aplicaciones como usuario, no como administrador
  • Usar programas confiables, parches de software y sistemas antivirus/antimalware, e interactuar sólo con sitios web y adjuntos legítimos
  • Emplear formación y programas de concienciación para educar a los usuarios
  • Usar aplicaciones de listas blancas como Microsoft AppLocker
  • Minimizar la exposición de la red en todos los sistemas o dispositivos de control
  • Posicionar las redes de control detrás de cortafuegos
  • SI el acceso remoto es requerido, utilizar siempre métodos seguros, como VPN
Detalle: 

RSLogix presenta una vulnerabilidad de desbordamiento de búfer al abrir ficheros de proyecto con la extensión RSS. Para aprovechar la vulnerabilidad, un potencial atacante debe utilizar un fichero RSS modificado. Si el ataque tiene éxito, el código malicioso se ejecuta con los mismos privilegios que el usuario registrado en el equipo. Se ha reservado el identificador CVE-2016-5814 para esta vulnerabilidad.