Inicio / Alerta Temprana / Avisos Seguridad / Validación de entrada inapropiada en productos Schweitzer Engineering Laboratories (SEL)

Validación de entrada inapropiada en productos Schweitzer Engineering Laboratories (SEL)

Fecha de publicación: 
08/08/2013
Importancia: 
4 - Alta
Recursos afectados: 

Los productos de Schweitzer Engineering Laboratories (SEL) afectados son los siguientes:

  • SEL-3530-R100 -V0-Z001001-D20090915 hasta SEL-3530- SEL-3530-R123-V0-Z002001
  • SEL-3530-4-R107-V0-Z001001-D20100818 hasta SEL-3530-4-R123-V0-Z002001-D20130117
  • SEL-3505-R119-V0-Z001001-D20120720 hasta SEL-3505-R123-V0-Z002001-D20130117
  • SEL-2241-R113-V0-Z001001-D20110721 hasta SEL-2241-R123-V0-Z002001-D20130117
Descripción: 

Los Controladores de Automatización en Tiempo Real (RTAC) de Schweitzer Engineering Laboratories (SEL) realizan una inapropiada validación de entrada en el driver DNP3

Solución: 

Schweitzer Engineering Laboratories (SEL) recomienda a los clientes afectados que se pongan en contacto con el servicio de atención al cliente para obtener el CD-ROM con la actualización gratuita de firmware.

Detalle: 

En el dispositivo maestro RTAC puede provocarse un bucle infinito mediante el envío de un paquete TCP especialmente manipulado desde la estación principal.

El impacto de esta vulnerabilidad puede ser el reinicio automático del driver DNP3, reanudándose la comunicación, pero en condiciones más severas se activará el indicador de ALARMA y el dispositivo deberá recargar la configuración.

En redes IP esta vulnerabilidad puede ser explotada de forma remota, pero esta misma vulnerabilidad también se producen en conexiones serie, por lo que en estos casos resulta necesario un acceso físico al dispositivo.