Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Fecha de publicación:

12/05/2017

Importancia:

4 - Alta

Recursos afectados:

SenNet Optimal DataLogger, versión V5.37c-1.43c y anteriores
SenNet Solar Datalogger, versión V5.03-1.56a y anteriores
SenNet Multitask Meter, versión V5.21a-1.18b y anteriores

Descripción:

El investigador independiente Karn Ganeshan ha identificado una vulnerabilidad de inyección de comandos que afecta a varios productos de Satel Iberia. Un potencial atacante podría ganar acceso con privilegios de root y ejecutar comandos arbitrarios en el sistema y cambiar los datos de sistema.

Solución:

Satel Iberia recomienda a los usuarios actualizar a la última versión disponible. Esta versión puede solicitarse al soporte de Satel Iberia.

Detalle:

La explotación exitosa de esta vulnerabilidad resultaría en que un potencial atacante consiguiera escapar de la interfaz de comandos enjaulada y ganar acceso total al sistema. Se ha reservado el identificador CVE-2017-6048 para esta vulnerabilidad.

Referencias:

Satel Iberia SenNet Data Logger and Electricity Meters

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Consumo incontrolado de recursos en múltiples productos de Mitsubishi Electric

Vulnerabilidad de escalada de privilegios locales en GE Digital CIMPLICITY

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3