Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Schneider Electric

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 09/08/2022

Importancia:
CrĂ­tica

Recursos afectados:

  • EcoStruxureTM Control Expert, versiĂłn V15.0 SP1 y anteriores;
  • EcoStruxureTM Process Expert, versiĂłn V2021 y anteriores;
  • Modicon Controllers M340, versiĂłn V3.40 y anteriores;
  • Modicon Controllers M580, versiĂłn V3.22 y anteriores;
  • Legacy Modicon Quantum/Premium, todas las versiones;
  • Modicon Momentum MDI (171CBU*), todas las versiones;
  • Modicon MC80 (BMKC80), todas las versiones;
  • EcoStruxureℱ Control Expert, versiĂłn V15.1 HF001 y anteriores;
  • Modicon MC80 (BMKC80), versiĂłn V1.6 y anteriores;
  • Modicon Momentum MDI (171CBU*), versiĂłn 2.3 y anteriores;
  • Legacy Modicon Quantum, todas las versiones.

DescripciĂłn:

Schneider Electric ha publicado 12 vulnerabilidades, siendo 1 de severidad crĂ­tica, 2 altas y 1 media.

SoluciĂłn:

Actualizar:

  • EcoStruxureTM Control Expert, versiĂłn V15.1;
  • EcoStruxureTM Process Expert, versiĂłn V2021;
  • Modicon Controllers M340, versiĂłn V3.50;
  • Modicon Controllers M580, versiĂłn V4.01;
  • EcoStruxureℱ Control Expert, versiĂłn V15.2;
  • Modicon MC80 (BMKC80), versiĂłn V1.70;
  • Modicon Momentum MDI (171CBU*), SV2.4;
  • Los productos Legacy Modicon Quantum, y Legacy Modicon Quantum/Premium, se encuentran al final de su vida Ăștil y no reciben actualizaciones. El fabricante recomienda migrar a Modicon M580 ePAC;
  • Para Modicon Momentum MDI (171CBU*) y Modicon MC80 (BMKC80): se estĂĄ trabajando en una soluciĂłn. EstarĂĄ disponible prĂłximamente.

Detalle:

  • El mecanismo de recuperaciĂłn de contraseñas olvidadas podrĂ­a permitir a un atacante el acceso no autorizado al controlador, en modo de lectura y escritura, cuando se comunica a travĂ©s de Modbus. Se ha asignado el identificador CVE-2022-37300 para esta vulnerabilidad de severidad crĂ­tica.
  • El desbordamiento de enteros, podrĂ­a permitir a un atacante la denegaciĂłn de servicio del controlador, a travĂ©s del acceso a la memoria cuando se utiliza el protocolo Modbus TCP de Modbus. Se ha asignado el identificador CVE-2022-37301 para esta vulnerabilidad de severidad alta.
  • Un atacante podrĂ­a obtener informaciĂłn sensible almacenada en la memoria del controlador, durante la comunicaciĂłn, a travĂ©s del protocolo Modbus TCP. Se ha asignado el identificador CVE-2021-22786 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2022-37302.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.