Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 09/06/2021
Importancia
5 - Crítica
Recursos Afectados
  • IGSS Definition (Def.exe), versión V15.0.0.21041 y anteriores;
  • PM5560, versiones anteriores a V2.7.8;
  • PM5561, versiones anteriores a V10.7.3;
  • PM5562, versión V2.5.4 y anteriores;
  • PM5563, versiones anteriores a V2.7.8;
  • PM8ECC, todas las versiones;
  • EGX100, todas las versiones;
  • EGX300, todas las versiones;
  • Easergy T300, versiones V2.7.1 y anteriores;
  • Easergy C5, versiones hasta la 1.0.x y la versión ISaGRAF embebida 5.2 y anteriores;
  • MiCOM C264, versiones hasta la D6.x con la versión embebida ISaGRAF 5.2 y anteriores;
  • PACiS GTW y EPAS GTW, todos los puntos de acceso que soporten ISaGRAF 5.2 y anteriores;
  • Saitel DP, versión 11.06.21 y anteriores;
  • Saitel DR, versión 11.06.12 y anteriores;
  • SCADAPack 300E RTU, firmware 8.18.1 y anteriores;
  • SCADAPack 53xE RTU, firmware 8.18.1 y anteriores;
  • SCADAPack Workbench, firmware 6.6.8 y anteriores;
  • CP-3/MC-31, SCD2200 firmware versión 10024 y anteriores;
  • SAGE RTU, C3414 CPU, C3413 CPU, C3412 CPU, todas las versiones de firmware;
  • Modicon X80 BMXNOR0200H RTU SV1.70 IR22 y anteriores;
  • Enerlin’X Com’X, versiones anteriores a la V6.8.4.
Descripción

Schneider ha publicado un total de 28 vulnerabilidades, siendo 4 de severidad crítica, 19 altas y 5 medias.

Solución

Actualizar a las versiones descritas en la sección Remediation de cada aviso, o en caso de que el producto afectado sea EOL, seguir las medidas plasmadas en el apartado Mitigations.

Detalle
  • La vulnerabilidad de severidad crítica se refiere a una validación inadecuada de los datos de entrada que podría permitir a un atacante la denegación del servicio o la ejecución remota de código a través de un paquete HTTP especialmente diseñado. Se han asignado los identificadores CVE-2021-22765, CVE-2021-22767 y CVE-2021-22768.
  • Se han asignado los identificadores CVE-2021-22750, CVE-2021-22751, CVE-2021-22752, CVE-2021-22753, CVE-2021-22754, CVE-2021-22755, CVE-2021-22756, CVE-2021-22757, CVE-2021-22758, CVE-2021-22759, CVE-2021-22760, CVE-2021-22761, CVE-2021-22762, CVE-2021-22763, CVE-2021-22766 y CVE-2021-22769 para las vulnerabilidades de severidad alta.
  • Se han asignado los identificadores CVE-2021-22764 y CVE-2021-22749 para las vulnerabilidades de severidad media.
  • Adicionalmente se han reservado los identificadores CVE-2020-25176, CVE-2020-25178, CVE-2020-25182, CVE-2020-25184 y CVE-2020-25180.

Encuesta valoración

Listado de referencias
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-01Page1 of 6IGSS (Interactive Graphical SCADA System)
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-02Page1 of 4PowerLogic PM55xx and PowerLogic PM8ECC
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-03Page1 of 4PowerLogic EGX100 and PowerLogicEGX300
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-04Page1 of 5ISaGRAF Vulnerabilities in IEC 61131-3 Programming and Engineering Tools
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-05Page1 of 4 Embedded Web Server for Modicon X80 BMXNOR0200H RTU Module
Schneider Electric Security Notification8-Jun-21 Document Reference Number – SEVD-2021-159-06Page1 of 3Enerlin'X Com’X 51
ICS Advisory (ICSA-21-159-04) Schneider Electric IGSS
ICS Advisory (ICSA-21-159-05) Schneider Electric Modicon X80
[Actualización 18/06/2021] ICS Advisory (ICSA-21-168-01) Schneider Electric Enerlin'X Com’X 510
Etiquetas