Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 14/12/2021

Importancia:
Crítica

Recursos afectados:

• IGSS Data Colleca (dc.exe), V15.0.0.21320 y anterior;
• EVlink City EVC1S22P4 / EVC1S7P4, versiones anteriores a R8 V3.4.0.2;
• EVlink Parking EVW2 / EVF2 / EVP2PE, versiones anteriores a R8 V3.4.0.2;
• EVlink Smart Wallbox EVB1A, versiones anteriores a R8 V3.4.0.2;
• EcoStruxure™ Power Moniaing Expert 9.0 y anteriores;
• AP7xxxx y AP8xxx con NMC2, V6.9.6 o anteriores;
• AP7xxx y AP8xxx con NMC3, V1.1.0.3 o anteriores;
• APDU9xxx con NMC3, V1.0.0.28 o anteriores.

Descripción:

Schneider Electric ha reportado 11 vulnerabilidades, 1 crítica, 5 altas y 5 de severidad media, por las que un atacante podría realizar una denegación de servicio, el acceso no autorizado al servidor web de la estación de carga, ejecución de código arbitrario, ejecución de código web malicioso o provocar el funcionamiento involuntario del dispositivo.

Solución:

• IGSS Data Collector: versión 15.0.0.21321 del módulo IGSS DC. Disponible para su descarga a través de IGSS Master > Update IGSS Software o descargando el ZIP de actualizacion;
• EVlink City EVC1S22P4 / EVC1S7P4: actualizar el firmware;
• EVlink Parking EVW2 / EVF2 / EVP2PE: actualizar el firmware;
• EVlink Smart Wallbox EVB1A: actualizar el firmware;
• EcoStruxure™ Power Monitoring actualzar a Expert 2020 o superior a través de su ISO;
• AP7xxxx y AP8xxx con NMC2 actualizar a V7.0.6.;
• AP7xxx y AP8xxx con NMC3 actualizar a V1.2.0.2;
• APDU9xxx con NMC3 actualizar a V1.2.0.2.

Detalle:

• Una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría hacer que el servidor web de la estación de carga reenvíe solicitudes a objetivos de red no deseados cuando se envían parámetros maliciosos elaborados al servidor web de la estación de carga Se ha asignado el identificador CVE-2021-22821 para esta vulnerabilidad de severidad crítica.
• Una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) que podría permitir a un atacante hacerse pasar por el usuario o realizar acciones en su nombre cuando se envían parámetros maliciosos en las solicitudes POST enviadas al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22724 para esta vulnerabilidad.
• Realizar acciones no deseadas cuando se envían parámetros maliciosos en solicitudes GET enviadas al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22725 para esta vulnerabilidad.
• Una restricción inadecuada de intentos de autenticación excesivos podría permitir el acceso no autorizado a la interfaz web de la estación de carga realizando ataques de fuerza bruta. Se ha asignado el identificador CVE-2021-22818 para esta vulnerabilidad.
• La caducidad de sesión podría permitir un acceso no autorizado a través de una sesión secuestrada al servidor web de la estación de carga, incluso después de que el titular legítimo de la cuenta de usuario haya cambiado su contraseña. Se ha asignado el identificador CVE-2021-22820 para esta vulnerabilidad.
• La neutralización inadecuada de la entrada durante la generación de la página web (‘Cross-site Scripting‘) podría hacerse pasar por el usuario que gestiona la estación de la estación de carga o llevar a cabo acciones en su nombre cuando se envían parámetros maliciosos al servidor web de la estación de carga. Se ha asignado el identificador CVE-2021-22822 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-22819, CVE-2021-22823, CVE-2021-22824, CVE-2021-22826 y CVE-2021-22827.

Etiquetas:
Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad