Secuestro de DLL en Schneider Electric Software Update (SESU) de Schneider Electric

Fecha de publicación 29/10/2018
Importancia
4 - Alta
Recursos Afectados
  • Schneider Electric Software Update (SESU), todas las versiones anteriores a la versión 2.2.0. SESU es instalado por el siguiente software de Schneider Electric:
    • Acti 9 Smart Test
    • AltivarATV320DtmLibrary
    • AltivarDTMLibrary
    • AltivarMachine340DTMLibrary
    • AltivarProcessATV6xxDTMLibrary
    • AltivarProcessATV9xxDTMLibrary
    • Proface BLUE Open Studio
    • CompactNSX Firmware Update
    • Ecodial Advance Calculation
    • eConfigure
    • Ecoreach Software
    • EcoStruxure Modicon Builder
    • eXLhoist Configuration Software
    • Lexium 26 DTM Library
    • Lexium 28 DTM Library
    • Lexium 32 DTM Library
    • LV Motor Starter software
    • PowerSCADA Expert
    • Schneider Electric Floating License Manager
    • Schneider Electric License Manager
    • Schneider Electric Motion Sizer
    • Schneider Electric SQL Gateway
    • SoMachine Basic
    • SoMachine Motion Software
    • SoMachine Motion Tools V4.3
    • SoMachine Software
    • SoMove
    • SoSafe Configurable
    • SoSafe Programmable V2.1
    • TeSysDTM
    • Unity Loader
    • Unity Pro
    • Vijeo Citect
    • Vijeo Designer
    • Vijeo Designer Opti 6.1
    • Vijeo XD
    • Web Gate Client Files 
  • [Actualización 28/11/2018] Aveva informa que la vulnerabilidad de Schneider afecta a sus siguientes productos.
    • Vijeo Citect v7.40
    • Vijeo Citect 2015
    • Citect SCADA v7.40
    • Citect SCADA 2015
    • Citect SCADA 2016
Descripción

Haojun Hou del ADLab de Venustech, en colaboración con Schneider Electric, ha identificado una vulnerabilidad de tipo secuestro de DLL que podría permitir a un atacante remoto la ejecución de código arbitrario.

Solución

Schneider Electric ha publicado la versión 2.2.0 del software que soluciona la vulnerabilidad.

[Actualización 07/11/2018]:

Schneider Electric Software Update notificará a los usuarios de que ha publicado la actualización que corrige esta vulnerabilidad.

[Actualización 28/11/2018]:

AVEVA recomienda a todos los usuarios afectados que descarguen y actualicen la última versión del software Schneider Electric Software Update (SESU).

Detalle
  • Una vulnerabilidad de secuestro de DLL podría permitir a un atacante remoto llevar a cabo la ejecución de código arbitrario en el sistema. Se ha reservado el identificador CVE-2018-7799 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Notification - Schneider Electric Software Update (SESU)
[Actualización 02/11/2018] Advisory (ICSA-18-305-02) Schneider Electric Software Update (SESU)
[Actualización 28/11/2018] Advisory (ICSA-18-331-01) AVEVA Vijeo Citect and Citect SCADA
Etiquetas