[ACTUALIZACIÓN 12/03/2025] Múltiples vulnerabilidades en productos Schneider Electric
Todas las versiones de los productos:
- Harmony (antes denominado Magelis) series HMIST6, HMISTM6, HMIG3U, HMIG3X, HMISTO7 con tiempo de ejecución EcoStruxureTM Operator Terminal Expert;
- series PFXST6000, PFXSTM6000, PFXSP5000, PFXGP4100 con tiempo de ejecución Pro-face BLUE;
- Modicon Controllers M241 / M251;
- Modicon Controllers M258 / LMC058.
Schneider Electric ha publicado información sobre 2 vulnerabilidades, una de severidad crítica y otra alta, que afecta a múltiples productos, y cuya explotación podría permitir a un atacante tomar el control total del dispositivo afectado, interferir en la integridad y confidencialidad los dispositivos, provocar un fallo operacional o causar una denegación de servicio (DoS).
- Para los HMI Harmony y Pro-face se recomienda:
- utilizar HMI solo en un entorno protegido, para minimizar la exposición a la red, asegurando que no se puede acceder desde redes públicas de Internet o no fiables;
- configurar una segmentación en la red e implementar un cortafuegos;
- restringir el uso de soportes portátiles no verificables;
- restringir el acceso a la aplicación para limitar la transferencia de firmware a HMIScanning de software o archivos en busca de rootkits antes de su uso y verificación de la firma digital;
- utilizar protocolos de comunicación seguros al intercambiar archivos a través de la red.
- Para los controladores Modicon, el fabricante está estableciendo un plan de corrección de la vulnerabilidad CVE-2024-11737 en futuras versiones, hasta entonces se recomienda:
- emplear controladores y dispositivos solo en un entorno protegido, para minimizar la exposición a la red, asegurando que no se puede acceder desde redes públicas de Internet o no fiables;
- filtrar puertos e IP a través del cortafuegos;
- segmentar la red y configurar un cortafuegos para bloquear todo acceso no autorizado al puerto 502/TCP;
- deshabilitar todos los protocolos en desuso;
- consultar Cybersecurity Guidelines for EcoStruxure Machine Expert, Modicon and PacDrive Controllers and Associated Equipment User Guide para más detalles.
[Actualización 12/03/2025]
El firmware Modicon M241/M251 versión 5.2.11.29 incluye una corrección para esta vulnerabilidad y puede actualizarse a través del software de Schneider Electric.
Se ha identificado una vulnerabilidad crítica, de tipo validación de entrada inadecuada, que podría provocar una denegación de servicio y una pérdida de confidencialidad e integridad del controlador Modicon cuando se envía al dispositivo un paquete Modbus creado sin autenticación. Se ha asignado el identificador CVE-2024-11737 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-11999.
