Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 09/08/2022

Importancia:
Crítica

Recursos afectados:

  • EcoStruxureTM Control Expert, versión V15.0 SP1 y anteriores;
  • EcoStruxureTM Process Expert, versión V2021 y anteriores;
  • Modicon Controllers M340, versión V3.40 y anteriores;
  • Modicon Controllers M580, versión V3.22 y anteriores;
  • Legacy Modicon Quantum/Premium, todas las versiones;
  • Modicon Momentum MDI (171CBU*), todas las versiones;
  • Modicon MC80 (BMKC80), todas las versiones;
  • EcoStruxure™ Control Expert, versión V15.1 HF001 y anteriores;
  • Modicon MC80 (BMKC80), versión V1.6 y anteriores;
  • Modicon Momentum MDI (171CBU*), versión 2.3 y anteriores;
  • Legacy Modicon Quantum, todas las versiones.

Descripción:

Schneider Electric ha publicado 12 vulnerabilidades, siendo 1 de severidad crítica, 2 altas y 1 media.

Solución:

Actualizar:

  • EcoStruxureTM Control Expert, versión V15.1;
  • EcoStruxureTM Process Expert, versión V2021;
  • Modicon Controllers M340, versión V3.50;
  • Modicon Controllers M580, versión V4.01;
  • EcoStruxure™ Control Expert, versión V15.2;
  • Modicon MC80 (BMKC80), versión V1.70;
  • Modicon Momentum MDI (171CBU*), SV2.4;
  • Los productos Legacy Modicon Quantum, y Legacy Modicon Quantum/Premium, se encuentran al final de su vida útil y no reciben actualizaciones. El fabricante recomienda migrar a Modicon M580 ePAC;
  • Para Modicon Momentum MDI (171CBU*) y Modicon MC80 (BMKC80): se está trabajando en una solución. Estará disponible próximamente.

Detalle:

  • El mecanismo de recuperación de contraseñas olvidadas podría permitir a un atacante el acceso no autorizado al controlador, en modo de lectura y escritura, cuando se comunica a través de Modbus. Se ha asignado el identificador CVE-2022-37300 para esta vulnerabilidad de severidad crítica.
  • El desbordamiento de enteros, podría permitir a un atacante la denegación de servicio del controlador, a través del acceso a la memoria cuando se utiliza el protocolo Modbus TCP de Modbus. Se ha asignado el identificador CVE-2022-37301 para esta vulnerabilidad de severidad alta.
  • Un atacante podría obtener información sensible almacenada en la memoria del controlador, durante la comunicación, a través del protocolo Modbus TCP. Se ha asignado el identificador CVE-2021-22786 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2022-37302.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.