Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el servidor Web SCADA de IniNet Solutions

Múltiples vulnerabilidades en el servidor Web SCADA de IniNet Solutions

Fecha de publicación: 
21/10/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Las versiones del servidor web SCADA afectadas son las siguientes:

  • Versiones anteriores a la 2.02.

Los siguientes productos son compatibles con el servidor web SCADA de IniNet Solutions GmbH y se ven afectados:

  • PC embebido Beckhoff , series CX1010
  • PC embebido Beckhoff , series CX1020
  • PC embebido Beckhoff , series CX1030
  • PC embebido Beckhoff , series CX2000
  • PC embebido Beckhoff , series CX5100
  • PC embebido Beckhoff , series CX5000
Descripción: 

Kirill Nesterov y Aleksandr Timorin de Positive Technologies, han identificado tres vulnerabilidades en el servidor web SCADA de IniNet Solutions GmbG.

Solución: 

IniNet Solutions GmbH ha desarrollado una nueva versión de su servidor web SCADA (versión 2.02) para mitigar estas vulnerabilidades.

Detalle: 

Desbordamiento de pila

Múltiples campos dentro de la aplicación web, no son filtrados y no realizan una comprobación del tamaño de búfer destino. Este hecho permitiría a un atacante ejecutar código de forma remota o realizar una denegación de servicio.

Se ha reservado el identificador CVE-2015-1001 para esta vulnerabilidad.

Manejo inadecuado de URLs codificadas

Las características de seguridad pueden ser evadidas tras la codificación de la URL, permitiendo la manipulación y eliminación de archivos.

Se ha reservado el identificador CVE-2015-1002 para esta vulnerabilidad.

Salto de directorio

Mediante la construcción de una URL, un atacante podría acceder de forma remota a ciertas rutas que contienen archivos o directorios. Esto se debe a que el servidor web no posee ningún tipo de seguridad frente a estos intentos de acceso.

Se ha reservado el identificador CVE-2015-1003 para esta vulnerabilidad.

Etiquetas: