Fecha de publicación: 17/09/2021
Importancia:
Alta
Recursos afectados:
- EcoStruxure Control Expert, todas las versiones, inclusive el antiguo Unity Pro;
- EcoStruxure Process Expert, todas las versiones, inclusive el antiguo HDCS;
- SCADAPack RemoteConnect x70, todas las versiones.
Descripción:
El investigador, Kimiya, trabajando junto a Trend Micro ZDI, ha reportado al CISA una vulnerabilidad de severidad alta que podrÃa permitir a un atacante la ejecución de código arbitrario.
Solución:
El fabricante recomienda las siguientes medidas hasta que se publique una actualización que incluya el parche para el producto:
- almacenar los archivos de proyecto en una ubicación segura y limitar el acceso a usuarios confiables,
- usar un protocolo seguro para el intercambio de archivos en la red,
- reforzar la seguridad de las estaciones de trabajo en las que se ejecuten los productos afectados,
- comprobar la integridad de cualquier archivo de proyecto mediante checksum,
- iniciar el software sin privilegios de administrador.
Para los usuarios de Unity Pro, se recomienda que migren a EcoStruxure Control Expert.
Detalle:
Subir un archivo de proyecto malicioso a la estación de trabajo, que ejecuta uno de los software afectados, podrÃa permitir a un atacante ejecutar código arbitrario en una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2021-22796 para esta vulnerabilidad.
Etiquetas:
Infraestructuras crÃticas, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.