Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 10/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • ION8650, todas las versiones anteriores a 4.40.1;
  • ION8800, todas las versiones anteriores a 372;
  • ION7650 (Hardware rev. 4 o anterior), todas las versiones anteriores a 376;
  • ION7650 (Hardware rev. 5), todas las versiones anteriores a 416;
  • ION7700/73xx, todas las versiones;
  • ION83xx/84xx/85xx/8600, todas las versiones;
  • ION7400, todas las versiones anteriores a 3.0.0;
  • ION9000, todas las versiones anteriores a 3.0.0;
  • PM8000, todas las versiones anteriores a 3.0.0;
  • IGSS Definition (Def.exe) versión 15.0.0.21041 y anteriores.
Descripción

Schneider Electric ha publicado múltiples vulnerabilidades que podrían provocar el reinicio del medidor, la ejecución remota de código, la lectura o escritura arbitraria de datos o la pérdida de datos.

Solución

Actualizar:

  • ION8650, V4.40.1;
  • ION8800, V372;
  • ION7650 (Hardware rev. 4 o anterior), V376;
  • ION7650 (Hardware rev. 5), V416;
  • ION7700/73xx, se encuentra sin soporte. El fabricante recomienda considerar su sustitución por alguno de los nuevos modelos (PowerLogic ION9000, PowerLogic PM8000, o PowerLogic ION7400);
  • ION83xx/84xx/85xx/8600, se encuentra sin soporte. El fabricante recomienda considerar su sustitución por alguno de los nuevos modelos (PowerLogic ION8650);
  • ION7400, V3.0.0;
  • ION9000, V3.0.0;
  • PM8000, V3.0.0;
  • IGSS Definition (Def.exe), versión 15.0.0.21042.
Detalle
  • La restricción inapropiada de operaciones dentro de los límites del búfer de la memoria, podría hacer que el medidor se reinicie o permitir la ejecución remota de código. Se han asignado los identificadores CVE-2021-22713 y CVE-2021-22714 para estas vulnerabilidades.
  • La restricción inapropiada de operaciones dentro de los límites del búfer de la memoria, podría permitir la pérdida de datos o a la ejecución remota de código cuando se importa un archivo CGF (Configuration Group File) malicioso a IGSS Definition. Se han asignado los identificadores CVE-2021-22709 y CVE-2021-22710.
  • La restricción inapropiada de operaciones dentro de los límites del búfer de la memoria, podría permitir una condición de lectura o escritura arbitrarias cuando se importa un archivo CGF (Configuration Group File) malicioso a IGSS Definition. Se han asignado los identificadores CVE-2021-22711 y CVE-2021-22712.

Encuesta valoración

Listado de referencias
PowerLogic ION8650 / ION8800 / ION7650 / ION7700/73xx / ION83xx/84xx/85xx/8600 Power Meters
PowerLogic ION7400 / PM8000 / ION9000 Power Meters
IGSS (Interactive Graphical SCADA System)
ICS Advisory (ICSA-21-070-01) Schneider Electric IGSS SCADA Software
Etiquetas