El software de Triangle MicroWorks realiza una inapropiada validación de entrada en una comunicación TCP, o en una comunicación serie.
El software de Triangle MicroWorks en múltiples dispositivos no valida la entrada en conexiones TCP, por lo que el envío de un paquete TCP manipulado, o a través de comunicaciones en serie, puede provocar un bucle infinito debiendo reiniciarse el dispositivo de manera manual.
Impacto de la vulnerabilidad
Esta vulnerabilidad puede ser aprovechada de forma remota y un atacante podría utilizarla para causar una denegación de servicio.
Recursos afectados
Los productos Triangle MicroWork afectados son:
- SCADA Data Gateway, v2.50.0309 hasta v3.00.0616
- Componentes del protocolo DNP3, v3.06.0.171 hasta v3.15.0.369
- Bibliotecas de codigo fuente de ANSI C para DNP3, v3.06.0000 hasta v3.15.0000
Recomendación
- Triangle MicroWorks publicó actualización del software afectado que corrige esta vulnerabilidad, las notas pueden consultarse en: http://www.trianglemicroworks.com/documents/mdnp_scl_whats_new.pdf
- También recomienda contactar con el servicio técnico para obtener la actualización de las plataformas afectada desde: http://www.trianglemicroworks.com/SupportPage.htm
Más información:
- Aviso del ICS-CERT: ICSA-13-240-01 http://ics-cert.us-cert.gov/advisories/ICSA-13-240-01
Fuente: Inteco