Fecha de publicaciĂłn: 09/08/2022
Importancia:
CrĂtica
Recursos afectados:
- EcoStruxureTM Control Expert, versiĂłn V15.0 SP1 y anteriores;
- EcoStruxureTM Process Expert, versiĂłn V2021 y anteriores;
- Modicon Controllers M340, versiĂłn V3.40 y anteriores;
- Modicon Controllers M580, versiĂłn V3.22 y anteriores;
- Legacy Modicon Quantum/Premium, todas las versiones;
- Modicon Momentum MDI (171CBU*), todas las versiones;
- Modicon MC80 (BMKC80), todas las versiones;
- EcoStruxureâą Control Expert, versiĂłn V15.1 HF001 y anteriores;
- Modicon MC80 (BMKC80), versiĂłn V1.6 y anteriores;
- Modicon Momentum MDI (171CBU*), versiĂłn 2.3 y anteriores;
- Legacy Modicon Quantum, todas las versiones.
DescripciĂłn:
Schneider Electric ha publicado 12 vulnerabilidades, siendo 1 de severidad crĂtica, 2 altas y 1 media.
SoluciĂłn:
Actualizar:
- EcoStruxureTM Control Expert, versiĂłn V15.1;
- EcoStruxureTM Process Expert, versiĂłn V2021;
- Modicon Controllers M340, versiĂłn V3.50;
- Modicon Controllers M580, versiĂłn V4.01;
- EcoStruxureâą Control Expert, versiĂłn V15.2;
- Modicon MC80 (BMKC80), versiĂłn V1.70;
- Modicon Momentum MDI (171CBU*), SV2.4;
- Los productos Legacy Modicon Quantum, y Legacy Modicon Quantum/Premium, se encuentran al final de su vida Ăștil y no reciben actualizaciones. El fabricante recomienda migrar a Modicon M580 ePAC;
- Para Modicon Momentum MDI (171CBU*) y Modicon MC80 (BMKC80): se estĂĄ trabajando en una soluciĂłn. EstarĂĄ disponible prĂłximamente.
Detalle:
- El mecanismo de recuperaciĂłn de contraseñas olvidadas podrĂa permitir a un atacante el acceso no autorizado al controlador, en modo de lectura y escritura, cuando se comunica a travĂ©s de Modbus. Se ha asignado el identificador CVE-2022-37300 para esta vulnerabilidad de severidad crĂtica.
- El desbordamiento de enteros, podrĂa permitir a un atacante la denegaciĂłn de servicio del controlador, a travĂ©s del acceso a la memoria cuando se utiliza el protocolo Modbus TCP de Modbus. Se ha asignado el identificador CVE-2022-37301 para esta vulnerabilidad de severidad alta.
- Un atacante podrĂa obtener informaciĂłn sensible almacenada en la memoria del controlador, durante la comunicaciĂłn, a travĂ©s del protocolo Modbus TCP. Se ha asignado el identificador CVE-2021-22786 para esta vulnerabilidad de severidad alta.
Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2022-37302.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.