Validación incorrecta de datos de entrada en DNP3 de COPA-DATA

Validación incorrecta de datos de entrada en DNP3 de COPA-DATA

Fecha: 04/06/2014

Descripción: 

La compañía Ing Puzenberger COPA-DATA GmbH ha reportado una vulnerabilidad de validación incorrecta de datos de entrada que afecta al driver para DNP3 en el software “zenon SCADA”. Esta vulnerabilidad podría ser explotada de manera remota, resultando en una denegación de servicio que podría cerrar las comunicaciones y causar inestabilidad del sistema.

COPA-DATA ha desarrollado una actualización que mitiga la vulnerabilidad.

Detalle: 

La vulnerabilidad afecta tanto a dispositivos conectados a través del protocolo IP como del puerto serie. En ambos casos, debido a que el driver zenon DNP3 valida incorrectamente los datos de entrada, un atacante podría provocar que el software entrase en un bucle infinito, causando la caída del proceso. En dicho caso, el sistema tendrá que ser reiniciado manualmente.

La vulnerabilidad ha recibido el identificador CVE-2014-2345 para el caso de dispositivos IP, con un CVSS v2 de 7.1, y el identificador CVE-2014-2346 para dispositivos serie, con un CVSS v2 de 4.0.