Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Fecha de publicación:

17/07/2015

Importancia:

4 - Alta

Recursos afectados:

Las versiones de los productos afectados son las siguientes:

Relés Form 6 controls e Idea/IdeaPLUS con Ethernet con el software Pro View desde la versión 4.0 hasta la 5.0.

Descripción:

Investigadores del NEETRAC han encontrado una vulnerabilidad en los productos de Eaton’s Cooper Power Systems debida a una secuencia TCP predictible.

Solución:

Eaton’s Cooper Power Systems ha publicado el software ProView 5.0 Revision 11 para ambos relés que soluciona el problema.

Este software puede descargarse de la siguiente dirección:

http://www.cooperindustries.com/content/public/en/power_systems/resources/securitysupport.html

Detalle:

Los relés Form 6 controls e Idea/IdeaPLUS de Eaton’s Cooper Power Systems presenta una vulnerabilidad de secuencia TCP predictible que puede ser aprovechada por un atacante remoto para llevar a cabo un ataque de man-in-the-middle. El éxito del ataque puede producir un fallo de los dispositivos o la ejecución de código arbitrario por parte del atacante.

Eaton’s Cooper Power Systems ha publicado una actualización que soluciona la vulnerabilidad.

Se ha reservado el código CVE-2014-9196 para esta vulnerabilidad

Referencias:

Security Support

Eaton’s Cooper Power Series Form 6 Control and Idea/IdeaPlus Relays with Ethernet Vulnerability

Etiquetas:

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa

Vulnerabilidad en productos de Johnson Controls

Validación incorrecta del certificado en CODESYS Git