Asignación de recursos sin límites en EcoStruxure de Schneider
- EcoStruxure™ OPC UA Server Expert, versiones anteriores a SV2.01 SP3;
- EcoStruxure™ Modicon Communication Server, todas las versiones.
Jin Huang de ADLab, de Venustech, ha descubierto una vulnerabilidad de severidad alta que, en caso de ser explotada, podría provocar una denegación de servicio en la plataforma de comunicación OPC UA.
Para el producto EcoStruxure™ OPC UA Server Expert, actualizar a la versión SV2.01 SP3.
Para el producto EcoStruxure™ Modicon Communication Server aún no hay un parche disponible, aunque el fabricante está trabajando en él. Por el momento se recomienda aplicar las siguientes medidas para reducir el riesgo de verse afectados por la vulnerabilidad:
- Configure el 'Security Policy' en 'Basic256-Sha256' (el valor por defecto indicado por las propiedades 'Security Policy' sin marcar). Este valor se emplea para las comunicaciones seguras entre el cliente y el servidor OPC UA basados en OPC UA estándar.
- Asegúrese de que la propiedad 'Anonymous user token' esté desactivada (su valor por defecto), para evitar que usuarios anónimos se autentiquen.
- Asimismo, asegúrese de que la propiedad 'User authentication' esté activada (valor por defecto) para autenticar y autorizar el cliente OPC UA.
- Asegúrese de que la propiedad 'X509 user token' esté activada (valor por defecto) para autenticar y autorizar el cliente OPC UA.
Existe más información en la Guía de usuario de EcoStruxure™ Modicon, capítulo configuraciones de seguridad "Security Settings".
La vulnerabilidad es de tipo asignación de recursos sin límites ni restricciones y puede provocar una denegación de servicio en la plataforma de comunicación OPC UA cuando se envía una gran cantidad de solicitudes OPC UA a la plataforma.
Se ha asignado el identificador CVE-2024-10085 a esta vulnerabilidad.
