Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 11/10/2022
Identificador

INCIBE-2022-0960

Importancia
4 - Alta
Recursos Afectados
  • Versión 3.3 Hotfix 1 y anteriores de:
    • EcoStruxure™ Operator Terminal Expert,
    • Pro-face BLUE.
  • EcoStruxure™ Panel Server Box (PAS900), versión 3.1.16 y anteriores.
  • SAGE RTU C3414 CPU, versiones de firmware anteriores a C3414-500-S02K5_P5.
  • SAGE RTU C3413, C3412 CPU, todas las versiones de firmware.
  • EcoStruxure™ Power SCADA Operation 2020, versiones 2020 y 2020 CU1.
  • EcoStruxure™ Power SCADA Operation 2020 R2, versiones 2020 R2 anteriores a CU1.
  • EcoStruxure™ Power Operation 2021, versiones 2021, 2021 CU1 y 2021 CU2.
Descripción

Schneider Electric ha publicado 12 vulnerabilidades, siendo 9 de severidad alta y 3 medias.

Solución

Consultar la sección Remediation/Mitigation/Remediations de los avisos del fabricante para aplicar las medidas de mitigación y/o actualizaciones en los productos afectados.

Detalle

La explotación de las vulnerabilidades de severidad alta podría permitir a un atacante realizar:

  • ejecución de código malicioso (CVE-2022-41666, CVE-2022-41667, CVE-2022-41668, CVE-2022-41669 y CVE-2022-41670, CVE-2022-41671);
  • escrituras arbitrarias en archivos (CVE-2022-30790);
  • acceder a información, modificar configuraciones o repercutir en la disponibilidad del software (CVE-2022-22727).

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-30552, CVE-2022-2463, CVE-2022-2464 y CVE-2022-2465.

Encuesta valoración