Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 09/12/2020
Importancia
4 - Alta
Recursos Afectados
  • EcoStruxure™ Control Expert, todas las versiones;
  • Unity Pro (antigua denominación de EcoStruxure™ Control Expert), todas las versiones;
  • EcoStruxure Geo SCADA Expert:
    • 2019: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 81.7268.1 hasta 81.7578.1;
    • 2020: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 83.7551.1 hasta 83.7578.1.
  • Modicon, distintos productos y versiones, disponibles en cada sección Affected Products and Versions de los enlaces incluidos en las Referencias.
Descripción

Schneider Electric ha publicado múltiples vulnerabilidades, 8 con severidad alta y 4 medias.

Solución

Seguir las instrucciones de actualización y configuración descritas en la sección Remediation de cada aviso del fabricante. Puede localizarlos en la sección Referencias.

Detalle

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • cualquier condición en la que el atacante tenga la capacidad de escribir un valor arbitrario en una ubicación arbitraria (write-what-where condition),
  • protección de credenciales insuficientes,
  • la aplicación web no hace cumplir la autorización apropiada en todos las URL, scripts o archivos restringidos (forced browsing),
  • comprobación incorrecta de condiciones inusuales o excepcionales,
  • falta de autenticación para función crítica,
  • limitación inadecuada de una ruta a un directorio restringido (path traversal),
  • restricción inadecuada de las operaciones dentro de los límites de un búfer de memoria.

Para este conjunto de vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-7560, CVE-2020-28219, CVE-2020-7539, CVE-2020-7541, CVE-2020-7540, CVE-2020-7535, CVE-2020-7549, CVE-2020-7536, CVE-2020-7537, CVE-2020-7542, CVE-2020-7543 y CVE-2020-28220.

Encuesta valoración

Listado de referencias
Security Notification - EcoStruxure™ Control Expert
Security Notification - EcoStruxure Geo SCADA Expert
Security Notification - Web Server on Modicon M340, Legacy Offers Modicon Quantum and Modicon Premium and associated Communication Modules
Security Notification - Web Server on Modicon M340, Legacy Offers Modicon Quantum and Modicon Premium and associated Communication Modules
Security Notification - Web Server on Modicon M340, Legacy Offers Modicon Quantum and Modicon Premium and associated Communication Modules
Security Notification - Web Server on Modicon M340, Legacy Offers Modicon Quantum and Modicon Premium and associated Communication Modules
Security Notification - SNMP Service on Modicon M340 and associated Communication Modules
Security Notification - Modicon M580, Modicon M340, Legacy Controllers Modicon Quantum & Modicon Premium
Security Notification - Modicon M258 Logic Controllers and SoMachine/ SoMachine Motion Software
Etiquetas