Global Preloader
Vulnerabilidad
(22/Nov/2017) Vulnerabilidad en Schneider Electric’s software

Vulnerabilidad en Schneider Electric’s software

Se ha descubierto una vulnerabilidad en InduSoft Web Studio y InTouch Machine Edition de Schneider Electric’s, reportada por Aaron Portnoy. Esta vulnerabilidad de gravedad alta, permitiría a un atacante remoto ejecutar código arbitrario.

Indusoft Web Studio es una colección de herramientas de desarrollo de HMI, sistemas SCADA y componentes integrados. InTouch Machine Edition permite crear aplicaciones HMI de manera intuitiva y segura para su uso en dispositivos inteligentes y en una amplia gama de dispositivos embebidos de bajo nivel.

La vulnerabilidad con CVE-2017-14024, se debe a un error en la subscripción de etiquetas en clientes HMI que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.

Afecta a las versiones:

  • InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
  • InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.
Se recomienda actualizar a versiones superiores.

Se recomienda tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar Firewall, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPN).