Fecha de publicación: 10/01/2023
Importancia:
Crítica
Recursos afectados:
- SoMachine HVAC, versiones 2.1.0 y anteriores.
- EcoStruxureTM Machine Expert – HVAC, versiones 1.4.0 y anteriores.
- Todas las versiones anteriores a Octubre 2022 de EcoStruxure TM Geo SCADA Expert, versiones 2019, 2020 y 2021.
- EcoStruxure™ Power SCADA Operation, versiones:
- 2020 y 2020 CU1;
- 2020 R2, 2020 R2 CU1, 2020 R2 CU2 y 2020 R2 CU3.
- EcoStruxure™ Power Operation, versiones 2021, 2021 CU1, 2021 CU2 y 2021 CU3.
- Power SCADA Operation, versión 9.0.
- PowerSCADA Expert, versiones 8.x.
- EcoStruxure™ Power SCADA Anywhere, versiones 2022, 2021, 2020 R2, 2020, 9.0 y 8.x.
- EcoStruxure™ Process Expert, versiones 2020 y anteriores.
- Todas las versiones de los productos:
- EcoStruxure™ Control Expert;
- Modicon M340 CPU (números de pieza BMXP34*);
- Modicon M580 CPU (números de pieza BMEP* y BMEH*);
- Modicon M580 CPU Safety (números de pieza BMEP58*S y BMEH58*S);
- Modicon Momentum Unity M1E Processor (171CBU*);
- Modicon MC80 (BMKC80);
- Legacy Modicon Quantum (140CPU65*) y Premium CPU (TSXP57*).
Descripción:
Schneider Electric ha detectado 7 vulnerabilidades: 1 de severidad crítica, 4 altas y 2 medias. Estas vulnerabilidades podrían causar una fuga de información sensible, una condición de denegación de servicio (DoS), una ejecución de comandos arbitrarios del sistema operativo, una pérdida de confidencialidad e integridad o una ejecución no autorizada de funciones Modbus.
Solución:
Actualizar a las versiones correctoras publicadas en la sección ‘Remediation‘ de cada aviso, o las medidas aportadas en la sección ‘Mitigations‘ en caso de no disponer de actualizaciones.
Detalle:
Existe una vulnerabilidad de autorización inadecuada que podría causar una denegación de servicio contra el servidor Geo SCADA cuando se envían mensajes específicos al mismo a través del puerto TCP de base de datos. Se ha asignado el identificador CVE-2023-22610 para esta vulnerabilidad crítica.
El resto de indentificadores CVE pueden consultarse en las referencias.
Etiquetas:
Actualización, Infraestructuras críticas, SCADA, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.