Validación de datos inadecuada en Experion PKS de Honeywell

Fecha de publicación:

28/10/2016

Importancia:

2 - Baja

Recursos afectados:

Experion PKS, Release 3xx y anteriores
Experion PKS, Release 400
Experion PKS, Release 410
Experion PKS, Release 430
Experion PKS, Release 431

Descripción:

Honeywell ha reportado una vulnerabilidad que puede provocar, en determinadas condiciones, una denegación de servicio en la plataforma Experion Process Knowledge System (PKS).

Solución:

Honeywell recomienda a los usuarios de los productos afectados que descarguen y apliquen el parche adecuado para solucionar la vulnerabilidad. Las versiones que corrigen este problema son:

R400.8 HOTFIX1
R410.8 HOTFIX6
R430.5 HOTFIX1
R431.2 HOTFIX2

En el caso de que la versión utilizada no tenga el parche disponible aún, Honeywell mientras tanto recomienda a los usuarios aislar el tráfico de red cuando se utilizan las herramientas de cliente del servicio eNAP Server o desactivar el servicio si no se está haciendo uso del mismo.

Detalle:

La plataforma Experion PKS, utilizada para la actualización del firmware de los dispositivos de la Serie C, realiza una validación de datos inadecuada. La explotación de esta vulnerabilidad podría permitir a un atacante remoto terminar de forma abrupta el proceso de actualización de los dispositivos mediante el envío de paquetes especialmente preparados. Se ha reservado el identificador CVE-2016-8344 para esta vulnerabilidad.

Referencias:

Honeywell Experion PKS Improper Input Validation Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Validación de datos inadecuada en Experion PKS de Honeywell

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric

Autenticación incorrecta en PortServer TS 16 de Digi International