Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Fecha de publicación:

17/07/2015

Importancia:

4 - Alta

Recursos afectados:

Las versiones de los productos afectados son las siguientes:

Relés Form 6 controls e Idea/IdeaPLUS con Ethernet con el software Pro View desde la versión 4.0 hasta la 5.0.

Descripción:

Investigadores del NEETRAC han encontrado una vulnerabilidad en los productos de Eaton’s Cooper Power Systems debida a una secuencia TCP predictible.

Solución:

Eaton’s Cooper Power Systems ha publicado el software ProView 5.0 Revision 11 para ambos relés que soluciona el problema.

Este software puede descargarse de la siguiente dirección:

http://www.cooperindustries.com/content/public/en/power_systems/resources/securitysupport.html

Detalle:

Los relés Form 6 controls e Idea/IdeaPLUS de Eaton’s Cooper Power Systems presenta una vulnerabilidad de secuencia TCP predictible que puede ser aprovechada por un atacante remoto para llevar a cabo un ataque de man-in-the-middle. El éxito del ataque puede producir un fallo de los dispositivos o la ejecución de código arbitrario por parte del atacante.

Eaton’s Cooper Power Systems ha publicado una actualización que soluciona la vulnerabilidad.

Se ha reservado el código CVE-2014-9196 para esta vulnerabilidad

Referencias:

Security Support

Eaton’s Cooper Power Series Form 6 Control and Idea/IdeaPlus Relays with Ethernet Vulnerability

Etiquetas:

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Desbordamiento de búfer en 1794-AENT Flex I/O Series B de Rockwell Automation

Autenticación inadecuada en XMC20 Multiservice-Multiplexer de Hitachi ABB Power Grids

Vulnerabilidad de identificación inadecuada en múltiples productos de la serie COMTRAXX de Bender

Múltiples vulnerabilidades en varios productos de Advantech

Validación de entrada incorrecta en SPRECON-E de Sprecher Automation