Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos Schneider Electric

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 14/07/2021

Importancia:
CrĂ­tica

Recursos afectados:

  • EcoStruxure Control Expert, versiĂłn 15.0 SP1 y anteriores (incluyendo todas las versiones de Unity Pro);
  • EcoStruxure Process Expert, todas las versiones (incluyendo todas las versiones de EcoStruxure Hybrid DCS);
  • SCADAPack RemoteConnect for x70, todas las versiones;
  • Modicon M580 CPU (nĂșmeros de pieza BMEP* y BMEH*) y Modicon M340 CPU (nĂșmeros de pieza BMXP34*), todas las versiones;
  • Easergy T300, versiĂłn de firmware 2.7.1 y anteriores;
  • SoSafe Configurable, versiones anteriores a 1.8.1;
  • C-Bus Toolkit. versiĂłn 1.15.8 y anteriores;
  • Easergy T200:
    • Modbus, versiĂłn SC2-04MOD-07000100 y anteriores;
    • IEC104, versiĂłn SC2-04IEC-07000100 y anteriores;
    • DNP3, versiĂłn C2-04DNP-07000102 y anteriores.
  • Todas las versiones anteriores a R8 3.4.0.1 de:
    • EVlink City EVC1S22P4 / EVC1S7P4;
    • EVlink Parking EVW2 / EVF2 / EV.2;
    • EVlink Smart Wallbox EVB1A.

DescripciĂłn:

Schneider ha publicado un total de 25 vulnerabilidades, siendo 5 de severidad crĂ­tica, 11 altas y 9 medias.

SoluciĂłn:

Actualizar a las versiones descritas en la secciĂłn Remediation de cada aviso, o en caso de que el producto afectado sea EOL, seguir las medidas plasmadas en el apartado Mitigations.

Detalle:

Las 5 vulnerabilidades crĂ­ticas se describen a continuaciĂłn:

  • Vulnerabilidad de omisiĂłn de autenticaciĂłn, que podrĂ­a causar un acceso no autorizado en modo de lectura y escritura al controlador mediante un spoofing de la comunicaciĂłn Modbus entre el software de ingenierĂ­a y el controlador. Se ha asignado el identificador CVE-2021-22779 para esta vulnerabilidad.
  • Vulnerabilidad de falta de autenticaciĂłn para la funciĂłn crĂ­tica, que podrĂ­a causar una operaciĂłn no autorizada cuando se omite dicha autenticaciĂłn. Se ha asignado el identificador CVE-2021-22772 para esta vulnerabilidad.
  • Vulnerabilidad de uso de credenciales en texto claro, que podrĂ­a permitir a un atacante emitir comandos no autorizados al servidor web de la estaciĂłn de carga con privilegios administrativos. Se ha asignado el identificador CVE-2021-22707 para esta vulnerabilidad.
  • Vulnerabilidades de uso de credenciales en texto claro, que podrĂ­an permitir a un atacante obtener privilegios administrativos no autorizados al acceder al servidor web de la estaciĂłn de carga. Se han asignado los identificadores CVE-2021-22729 y CVE-2021-22730 para estas vulnerabilidades.

Para el resto de vulnerabilidades, se pueden consultar los identificadores asignados en la secciĂłn Vulnerability Details de cada aviso del fabricante.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, Privacidad, SCADA, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.