Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de control de flujo en Unity PRO de Schneider Electric

Vulnerabilidad de control de flujo en Unity PRO de Schneider Electric

Fecha de publicación: 
02/11/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • Unity PRO, todas las versiones previas a la V11.1
Descripción: 

Avihay Kain y Mille Gandelsman, de Indegy, han identificado una vulnerabilidad que afecta a los productos Unity PRO de Schneider Electric.

Solución: 

Schneider Electric recomienda las siguientes acciones de mitigación:

  • Actualizar a la versión 11.1 de Unity PRO, que no permite lanzar el simulador sin programa de aplicación asociado.
  • Elegir con atención los proyectos que se ejecutan en el simulador, no confiar en fuentes desconocidas o no confiables.
  • Usar contraseñas fuertes para proteger las aplicaciones. No es posible cargar o modificar esta aplicación sin estar autenticado cuando una contraseña protege la aplicación.
Detalle: 

Los proyectos de Unity pueden ser compilados como instrucciones x86 y cargados en el simulador PLC asociado a Unity PRO. Este conjunto de instrucciones son directamente ejecutadas por el simulador, y un proyecto Unity especialmente preparado podría hacer que el simulador ejecute código malicioso redireccionado el control de flujo a estas instrucciones. Esto puede realizarse cuando no existe un programa de aplicación cargado en el simulador o cuando el programa de aplicación no posee contraseña. Se ha reservado el identificador CVE-2016-8354 para esta vulnerabilidad.