Schneider Electric uno de los mayores fabricantes de productos de hardware y software utilizados en la industria vertical crítica ha corregido una vulnerabilidad en dos productos de software InduSoft Web Studio e InTouch Machine Edition
Ambas suites de software son llamadas "middleware", que es un término utilizado para software que permite a los operadores humanos controlar equipos distribuidos en una o más fábricas, publicaciones de campo y más.
Los lugares más probables donde encontrará tales aplicaciones generalmente se encuentran en las redes internas de plantas de energía, el sector de petróleo y gas, manufactura, farmacia, grandes estaciones de procesamiento agrícola, y en cualquier fábrica con muchos sistemas automatizados, sensores, motores y otros equipos SCADA (Control de supervisión y adquisición de datos).
Los investigadores de seguridad de Tenable descubrieron que estas dos aplicaciones son vulnerables a la misma falla de seguridad, un desbordamiento de búfer en un componente compartido.
La vulnerabilidad podría haber permitido que un atacante se bloquee o se haga cargo de los dos productos de software, y obtenga acceso a las computadoras subyacentes en las que están instaladas, o los sensores industriales y motores que este software controla.
La buena noticia es que, en circunstancias normales, estas dos aplicaciones generalmente se instalan en redes internas con espacios vacíos dedicadas exclusivamente al control de equipos críticos de sistemas de control industrial (ICS).
Pero los investigadores de Tenable argumentan que si las computadoras que ejecutan cualquiera de estas dos aplicaciones deben dejarse conectadas a Internet, los ataques podrían ser montados desde ubicaciones remotas en la web, enviando un paquete malicioso a través del puerto 1234.
La vulnerabilidad recibe una clasificación de gravedad de 9.8 sobre 10
No obstante, es más probable que sucedan escenarios donde los atacantes se afianzan en estas redes cerradas y luego buscan y atacan el software vulnerable, y los investigadores advierten a las compañías que no tomen su informe de errores a la ligera, que recibió un puntaje de gravedad de 9.8 sobre un máximo de 10.
No se necesita autenticación para explotar esta falla, dijeron los investigadores de Tenable, instando a las empresas a actualizar a InduSoft Web Studio v8.1 SP1 e InTouch Machine Edition 2017 v8.1 SP1.
InduSoft Web Studio es un conjunto de herramientas que proporciona componentes de automatización para desarrollar interfaces hombre-máquina (HMI), sistemas de control de supervisión y adquisición de datos (SCADA) y soluciones de instrumentación incorporadas.
InTouch Machine Edition es un conjunto de herramientas de software HMI / SCADA para desarrollar aplicaciones para conectar sistemas de automatización como controladores lógicos programables (PLC) y para desarrollar interfaces para navegadores web, teléfonos inteligentes y tabletas.
Fecha actualización el 2021-05-03. Fecha publicación el 2018-05-03. Categoría: Software. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer