Global Preloader
Vulnerabilidad
(16/Jun/2017) Solucionan errores de alta severidad en software Trihedral SCADA

Solucionan errores de alta severidad en software Trihedral SCADA

Una actualización lanzada por Trihedral para su producto VTScada repara varias vulnerabilidades, incluyendo debilidades de alta severidad que pueden ser explotadas incluso por hackers menos capacitados.

VTScada, producto insignia de Trihedral, es una suite de software diseñada para la creación de interfaces hombre-máquina (HMI) para sistemas de control de supervisión y adquisición de datos (SCADA). 

El investigador de seguridad Karn Ganeshen descubrió varias vulnerabilidades que afectan a las versiones de VTScada antes del 11.2.26. El experto dijo a SecurityWeek que algunos sistemas que ejecutan VTScada son accesibles desde Internet, pero cree que hay más casos vulnerables que están expuestos a ataques.

Una de las fallas, registrada como CVE-2017-6043 y asignada una puntuación CVSS de 7.5, es un problema de denegación de servicio (DoS) que existe debido a que el cliente VTScada no ha limitado el uso de recursos.

En un aviso publicado en su sitio web, Ganeshen dijo que un atacante con una cuenta no privilegiada puede causar uso excesivo de CPU y RAM al enviar una carga útil grande (hasta aproximadamente 80.000 caracteres) en el campo de nombre de usuario de la ventana de inicio de sesión.

Otro defecto de alta severidad encontrado por el investigador en VTScada es CVE-2017-6045, un problema de divulgación de información que expone datos de configuración potencialmente sensibles a atacantes no autenticados.

Ganeshen también informó a Trihedral de varias vulnerabilidades de XSS (cross-site scripting) que pueden ser explotadas para ejecutar código JavaScript arbitrario en el navegador del usuario. Estos agujeros de seguridad se consideran de severidad media y se registran como CVE-2017-6053.

Los defectos han sido tratados por Trihedral con la liberación de VTScada 11.2.26. El investigador ha confirmado que la vulnerabilidad de agotamiento de recursos ha sido correctamente corregida.

Ganeshen dijo a SecurityWeek que presentó otros dos informes de vulnerabilidad de VTScada, que pronto serán publicados por ICS-CERT.