Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Fecha de publicación:

12/05/2017

Importancia:

4 - Alta

Recursos afectados:

SenNet Optimal DataLogger, versión V5.37c-1.43c y anteriores
SenNet Solar Datalogger, versión V5.03-1.56a y anteriores
SenNet Multitask Meter, versión V5.21a-1.18b y anteriores

Descripción:

El investigador independiente Karn Ganeshan ha identificado una vulnerabilidad de inyección de comandos que afecta a varios productos de Satel Iberia. Un potencial atacante podría ganar acceso con privilegios de root y ejecutar comandos arbitrarios en el sistema y cambiar los datos de sistema.

Solución:

Satel Iberia recomienda a los usuarios actualizar a la última versión disponible. Esta versión puede solicitarse al soporte de Satel Iberia.

Detalle:

La explotación exitosa de esta vulnerabilidad resultaría en que un potencial atacante consiguiera escapar de la interfaz de comandos enjaulada y ganar acceso total al sistema. Se ha reservado el identificador CVE-2017-6048 para esta vulnerabilidad.

Referencias:

Satel Iberia SenNet Data Logger and Electricity Meters

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric

Autenticación incorrecta en PortServer TS 16 de Digi International