Validación de datos inadecuada en Experion PKS de Honeywell

Fecha de publicación:

28/10/2016

Importancia:

2 - Baja

Recursos afectados:

Experion PKS, Release 3xx y anteriores
Experion PKS, Release 400
Experion PKS, Release 410
Experion PKS, Release 430
Experion PKS, Release 431

Descripción:

Honeywell ha reportado una vulnerabilidad que puede provocar, en determinadas condiciones, una denegación de servicio en la plataforma Experion Process Knowledge System (PKS).

Solución:

Honeywell recomienda a los usuarios de los productos afectados que descarguen y apliquen el parche adecuado para solucionar la vulnerabilidad. Las versiones que corrigen este problema son:

R400.8 HOTFIX1
R410.8 HOTFIX6
R430.5 HOTFIX1
R431.2 HOTFIX2

En el caso de que la versión utilizada no tenga el parche disponible aún, Honeywell mientras tanto recomienda a los usuarios aislar el tráfico de red cuando se utilizan las herramientas de cliente del servicio eNAP Server o desactivar el servicio si no se está haciendo uso del mismo.

Detalle:

La plataforma Experion PKS, utilizada para la actualización del firmware de los dispositivos de la Serie C, realiza una validación de datos inadecuada. La explotación de esta vulnerabilidad podría permitir a un atacante remoto terminar de forma abrupta el proceso de actualización de los dispositivos mediante el envío de paquetes especialmente preparados. Se ha reservado el identificador CVE-2016-8344 para esta vulnerabilidad.

Referencias:

Honeywell Experion PKS Improper Input Validation Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Validación de datos inadecuada en Experion PKS de Honeywell

Ejecución remota de código en Advantech WebAccess/HMI Designer

Vulnerabilidad de XSS en productos Ellipse APM de Hitachi ABB Power Grids

Múltiples vulnerabilidades en conmutadores Stratix de Rockwell Automation

Múltiples vulnerabilidades en productos de Delta Electronics

Múltiples vulnerabilidades en productos Meinberg con LANTIME firmware