Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Validación incorrecta de los datos de entrada en PACSystems RX3i de GE/Emerson

Fecha de publicación 15/01/2020
Importancia
4 - Alta
Recursos Afectados
  • CPE100, todas las versiones anteriores a R9.85;
  • CPE115, todas las versiones anteriores a R9.85;
  • CPE302, todas las versiones anteriores a R9.90;
  • CPE305, todas las versiones anteriores a R9.90;
  • CPE310, todas las versiones anteriores a R9.90;
  • CRU320, producto descatalogado, sustituir por CPE330;
  • CPE330, todas las versiones anteriores a R9.90;
  • CPE400, todas las versiones anteriores a R9.90;
  • CPL410, todas las versiones anteriores a R9.90;
Descripción

El investigador Yeop Chang ha reportado una vulnerabilidad de criticidad alta que afecta a dispositivos de GE/Emerson. Un atacante remoto podría generar una condición de denegación de servicio (DoS) en el dispositivo.

Solución

Emerson recomienda actualizar a las siguientes versiones:

  • Versión R9.85:
    • CPE100;
    • CPE115;
  • Versión R9.90:
    • CPE302;
    • CPE305;
    • CPE310;
    • CPE330;
    • CPE400;
    • CPE410;

En el caso de CPU/CRU320, Emerson indica que ha alcanzado el fin de su ciclo de vida y recomienda su sustitución por CPE330.

Detalle

El envío de paquetes especialmente diseñados podría provocar el cambio del módulo al estado de parada, dando lugar a una condición de denegación de servicio. Un atacante remoto podría generar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-13524 para esta vulnerabilidad.

Encuesta valoración