Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Fecha de publicación:

17/07/2015

Importancia:

4 - Alta

Recursos afectados:

Las versiones de los productos afectados son las siguientes:

Relés Form 6 controls e Idea/IdeaPLUS con Ethernet con el software Pro View desde la versión 4.0 hasta la 5.0.

Descripción:

Investigadores del NEETRAC han encontrado una vulnerabilidad en los productos de Eaton’s Cooper Power Systems debida a una secuencia TCP predictible.

Solución:

Eaton’s Cooper Power Systems ha publicado el software ProView 5.0 Revision 11 para ambos relés que soluciona el problema.

Este software puede descargarse de la siguiente dirección:

http://www.cooperindustries.com/content/public/en/power_systems/resources/securitysupport.html

Detalle:

Los relés Form 6 controls e Idea/IdeaPLUS de Eaton’s Cooper Power Systems presenta una vulnerabilidad de secuencia TCP predictible que puede ser aprovechada por un atacante remoto para llevar a cabo un ataque de man-in-the-middle. El éxito del ataque puede producir un fallo de los dispositivos o la ejecución de código arbitrario por parte del atacante.

Eaton’s Cooper Power Systems ha publicado una actualización que soluciona la vulnerabilidad.

Se ha reservado el código CVE-2014-9196 para esta vulnerabilidad

Referencias:

Security Support

Eaton’s Cooper Power Series Form 6 Control and Idea/IdeaPlus Relays with Ethernet Vulnerability

Etiquetas:

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad en relés de Eaton’s Cooper Power Systems

Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en productos de ABB

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Desbordamiento de búfer en múltiples productos de Hirschmann