Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades Meltdown y Spectre en Sistemas de Control Industrial

Vulnerabilidades Meltdown y Spectre en Sistemas de Control Industrial

Fecha de publicación: 
15/01/2018
Importancia: 
5 - Crítica
Recursos afectados: 

Varios fabricantes de productos de sistemas de control industrial se han visto afectados por estas vulnerabilidades en CPUs, entre ellos:

  • ABB.
  • Becton, Dickinson and Company (BD).
  • Rockwell Automation.
  • Siemens.
Descripción: 

Múltiples fabricantes de sistemas de control industrial se han visto afectados por las vulnerabilidades Meltdown y Spectre que afecta a CPUs. Este aviso ya fue publicado en INCIBE-CERT para sistemas de TI, como Vulnerabilidades críticas en múltiples CPUs. Meltdown y Spectre.

Solución: 

 Los siguientes fabricantes han publicado notas relativas a estas vulnerabilidades:

Detalle: 

Las vulnerabilidades Meltdown y Spectre afectan a CPUs de varios fabricantes, integradas en dispositivos de sistemas de control industrial. Un atacante sin privilegios, puede aprovechar este fallo de seguridad y ejecutar código malicioso para leer zonas de memoria reservada del kernel eludiendo el llamado kernel address-space layout randomization (KASLR). Esta memoria podría contener información sensible como contraseñas o claves criptográficas. Para estas vulnerabilidades se han reservado los siguientes CVE:

  • Spectre attack: CVE-2017-5753 y CVE-2017-5715
  • Meltdown attack: CVE-2017-5754

Pueden ir apareciendo nuevos fabricantes de ámbito industrial que notifiquen la afectación de alguno de sus productos a estas vulnerabilidades. ICS-CERT mantiene una lista actualizada en:

https://ics-cert.us-cert.gov/alerts/ICS-ALERT-18-011-01

Encuesta valoración