Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en el servidor SCADA Engine BACnet OPC

Vulnerabilidades en el servidor SCADA Engine BACnet OPC

Fecha de publicación: 
11/03/2015
Importancia: 
5 - Crítica
Recursos afectados: 
  • SCADA Engine BACnet OPC Server version 2.1.359.22 y anteriores.
Descripción: 

Un investigador independiente ha descubierto varias vulnerabilidades en el servidor SCADA Engine BACnet OPC.

Solución: 

SCADA Engine ha publicado una actualización de la aplicación para resolver las vulnerabilidades. Esta actualización está disponible en el siguiente enlace:

http://www.scadaengine.com/downloads/BACnetOPCServer_2.1.371.24.exe

Detalle: 

Las vulnerabilidades descubiertas son:

  • Desbordamiento de búfer de memoria dinámica (heap). Mediante el envío de un paquete manipulado es posible provocar una corrupción de memoria dinámica y conseguir la caída de la aplicación o la ejecución de código de forma arbitraria.
  • Validación de entrada. Existe una vulnerabilidad relacionada con el formato de cadena (format string) que puede causar la caída de la aplicación BACnOPCServer.exe con posibilidad de ejecución de código.
  • Autenticación. Una vulnerabilidad de autenticación permite a un atacante leer, insertar, o borrar cualquier elemento de la base de datos.

Todas la vulnerabilidades son explotables de forma remota.