Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Fecha de publicación:

17/07/2015

Importancia:

4 - Alta

Recursos afectados:

Las versiones de los productos afectados son las siguientes:

Relés Form 6 controls e Idea/IdeaPLUS con Ethernet con el software Pro View desde la versión 4.0 hasta la 5.0.

Descripción:

Investigadores del NEETRAC han encontrado una vulnerabilidad en los productos de Eaton’s Cooper Power Systems debida a una secuencia TCP predictible.

Solución:

Eaton’s Cooper Power Systems ha publicado el software ProView 5.0 Revision 11 para ambos relés que soluciona el problema.

Este software puede descargarse de la siguiente dirección:

http://www.cooperindustries.com/content/public/en/power_systems/resources/securitysupport.html

Detalle:

Los relés Form 6 controls e Idea/IdeaPLUS de Eaton’s Cooper Power Systems presenta una vulnerabilidad de secuencia TCP predictible que puede ser aprovechada por un atacante remoto para llevar a cabo un ataque de man-in-the-middle. El éxito del ataque puede producir un fallo de los dispositivos o la ejecución de código arbitrario por parte del atacante.

Eaton’s Cooper Power Systems ha publicado una actualización que soluciona la vulnerabilidad.

Se ha reservado el código CVE-2014-9196 para esta vulnerabilidad

Referencias:

Security Support

Eaton’s Cooper Power Series Form 6 Control and Idea/IdeaPlus Relays with Ethernet Vulnerability

Etiquetas:

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Protección insuficiente de credenciales en eSOMS de Hitachi ABB Power Grids

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric