Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 10/01/2023

Importancia:
Crítica

Recursos afectados:

  • SoMachine HVAC, versiones 2.1.0 y anteriores.
  • EcoStruxureTM Machine Expert – HVAC, versiones 1.4.0 y anteriores.
  • Todas las versiones anteriores a Octubre 2022 de EcoStruxure TM Geo SCADA Expert, versiones 2019, 2020 y 2021.
  • EcoStruxure™ Power SCADA Operation, versiones:
    • 2020 y 2020 CU1;
    • 2020 R2, 2020 R2 CU1, 2020 R2 CU2 y 2020 R2 CU3.
  • EcoStruxure™ Power Operation, versiones 2021, 2021 CU1, 2021 CU2 y 2021 CU3.
  • Power SCADA Operation, versión 9.0.
  • PowerSCADA Expert, versiones 8.x.
  • EcoStruxure™ Power SCADA Anywhere, versiones 2022, 2021, 2020 R2, 2020, 9.0 y 8.x.
  • EcoStruxure™ Process Expert, versiones 2020 y anteriores.
  • Todas las versiones de los productos:
    • EcoStruxure™ Control Expert;
    • Modicon M340 CPU (números de pieza BMXP34*);
    • Modicon M580 CPU (números de pieza BMEP* y BMEH*);
    • Modicon M580 CPU Safety (números de pieza BMEP58*S y BMEH58*S);
    • Modicon Momentum Unity M1E Processor (171CBU*);
    • Modicon MC80 (BMKC80);
    • Legacy Modicon Quantum (140CPU65*) y Premium CPU (TSXP57*).

Descripción:

Schneider Electric ha detectado 7 vulnerabilidades: 1 de severidad crítica, 4 altas y 2 medias. Estas vulnerabilidades podrían causar una fuga de información sensible, una condición de denegación de servicio (DoS), una ejecución de comandos arbitrarios del sistema operativo, una pérdida de confidencialidad e integridad o una ejecución no autorizada de funciones Modbus.

Solución:

Actualizar a las versiones correctoras publicadas en la sección ‘Remediation‘ de cada aviso, o las medidas aportadas en la sección ‘Mitigations‘ en caso de no disponer de actualizaciones.

Detalle:

Existe una vulnerabilidad de autorización inadecuada que podría causar una denegación de servicio contra el servidor Geo SCADA cuando se envían mensajes específicos al mismo a través del puerto TCP de base de datos. Se ha asignado el identificador CVE-2023-22610 para esta vulnerabilidad crítica.

El resto de indentificadores CVE pueden consultarse en las referencias.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, SCADA, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.