Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en DeltaV de Emerson

Evasión de autenticación en DeltaV de Emerson

Fecha de publicación: 
11/01/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • DeltaV DCS, versiones 11.3.1, 11.3.2, 12.3.1, 13.3.1, 14.3, R5.1, R6 y anteriores.
  • [Actualización 4/03/2019] Wonderware System Platform 2017 actualización 2 y anteriores.
Descripción: 

El investigador Alexander Nochvay, de Kaspersky Lab, ha identificado una vulnerabilidad de tipo evasión de autenticación que afecta a los DCS DeltaV de Emerson. Un atacante podría cerrar un servicio y conseguir una denegación de servicio.

[Actualización 4/03/2019] El investigador también ha identificado que esta vulnerabilidad afecta a Wonderware System Platform de AVEVA. En este caso el atacate podría acceder a las credenciales de la cuenta de usuario de la red ArchestrA.

Solución: 
  • Emerson aconseja a todos los usuarios afectados aplicar los parches disponibles en el portal de soporte.
  • Wonderware aconseja actualizar a System Platform 2017 actualización 3.
Detalle: 
  • Un atacante podría generar un script especialmente diseñado para evadir la autenticación del puerto de mantenimiento de un servicio pudiendo provocar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2018-19021 para esta vulnerabilidad.

Encuesta valoración