Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Fecha de publicación:

12/05/2017

Importancia:

4 - Alta

Recursos afectados:

SenNet Optimal DataLogger, versión V5.37c-1.43c y anteriores
SenNet Solar Datalogger, versión V5.03-1.56a y anteriores
SenNet Multitask Meter, versión V5.21a-1.18b y anteriores

Descripción:

El investigador independiente Karn Ganeshan ha identificado una vulnerabilidad de inyección de comandos que afecta a varios productos de Satel Iberia. Un potencial atacante podría ganar acceso con privilegios de root y ejecutar comandos arbitrarios en el sistema y cambiar los datos de sistema.

Solución:

Satel Iberia recomienda a los usuarios actualizar a la última versión disponible. Esta versión puede solicitarse al soporte de Satel Iberia.

Detalle:

La explotación exitosa de esta vulnerabilidad resultaría en que un potencial atacante consiguiera escapar de la interfaz de comandos enjaulada y ganar acceso total al sistema. Se ha reservado el identificador CVE-2017-6048 para esta vulnerabilidad.

Referencias:

Satel Iberia SenNet Data Logger and Electricity Meters

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Inyección de comandos en Medidores eléctricos y registradores de datos SenNet de Satel Iberia

Múltiples vulnerabilidades en productos 1734-AENTR de Rockwell Automation

Escritura fuera de límites en múltiples productos de Dräger

Vulnerabilidad de canal lateral en múltiples productos Bosch

Múltiples vulnerabilidades en Ellipse EAM de Hitachi ABB Power Grids

Validación de entrada incorrecta en múltiples productos de Rockwell Automation