Inicio / Alerta Temprana / Avisos Sci / Ejecución de código arbitrario en Unity PRO de Schneider Electric

Ejecución de código arbitrario en Unity PRO de Schneider Electric

Fecha de publicación: 
20/10/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • Unity PRO, todas las versiones anteriores a la V11.1
Descripción: 

Schneider Electric ha tenido conocimiento de una vulnerabilidad que permite la ejecución de código arbitrario mediante el uso de Unity PRO.

Solución: 

Actualizar a versión 11.1 de unity PRO, que no permite la carga del simulador sin aplicación asociada ni la modificación de la misma sin autenticación una vez se ha elegido una contraseña robusta.

Detalle: 

El software Unity PRO permite la compilación de proyectos con instrucciones x86 que se cargan en el simulador PLC. Estas instrucciones x86 son posteriormente ejecutadas por el simulador de forma directa, posibilitando que el simulador ejecute código malicioso implantándolo en la memoria libre del proyecto Unity PRO y redirigiendo el flujo de control de dichas instrucciones. 

Para explotar de esta vulnerabilidad, que puede realizarse de forma remota, es necesario que no exista programa de simulación cargado en el Unity PRO o que no esté protegido por contraseña.