Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 10/05/2022
Importancia
5 - Crítica
Recursos Afectados
  • PowerLogic ION Setup, versiones anteriores a 3.2.22096.01;
  • Saitel DP RTU, versiones de firmware desde Baseline_09.00.00 hasta Baseline_11.06.23;
  • versiones 4.5 y anteriores de Wiser Smar:
    • EER21000,
    • EER21001.
Descripción

Los investigadores McKade Umbenhower y Tony Nasr han reportado 8 vulnerabilidades: 1 de severidad crítica, 5 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto, provocar una condición de denegación de servicio (DoS) o ejecutar código arbitrario.

Solución
  • Actualizar PowerLogic ION Setup a la versión 3.2.22096.01.
  • Actualizar Saitel DP RTU a la versión de firmware BaseLine_11.06.24.
  • Wiser Smart EER21000 y EER21001 han alcanzado el final de su vida útil (EOL) y no recibirán más soporte, por lo que se recomienda a los usuarios aplicar las medidas listadas en el apartado Mitigations de SEVD-2022-130-03.
Detalle
  • El uso de credenciales en texto claro podría permitir la ejecución de código arbitrario cuando se obtiene el nivel de acceso root. Se ha asignado el identificador CVE-2022-30234 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-30232, CVE-2022-30233, CVE-2022-30235, CVE-2022-30236, CVE-2022-30237, CVE-2022-30238 y CVE-2022-6996.

Encuesta valoración

Listado de referencias
Security Notification - PowerLogic ION Setup
Security Notification - Saitel DP RTU
Security Notification - Wiser Smart
Etiquetas