Múltiples vulnerabilidades en productos Schneider Electric
- EcoStruxure IT Data Center Expert, versiones 8.1.1.3 y anteriores,
- Todas las versiones de los productos:
- Harmony iPC - HMIBSC IIoT Edge Box Core;
- HMIBSCEA53D1L0T;
- HMIBSCEA53D1L0A;
- HMIBSCEA53D1L01;
- HMIBSCEA53D1LSE;
- HMIBSCEA53D1LSU;
- aplicación System Monitor en las series Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP;
- aplicación System Monitor en las series Pro-face Industrial PC PS5000.
- Easergy Studio, versiones 9.3.1 y anteriores.
- EVlink Home Smart, versiones anteriores a 2.0.6.0.0.
- Schneider Charge, versiones anteriores a 1.13.4.
- EcoStruxure Power Monitoring Expert (PME), versiones 2022 y anteriores.
- Zelio Soft 2, versiones anteriores a 5.4.2.2.
- EcoStruxure EV Charging Expert, versiones anteriores a 6.0.0.
Adicionalmente, Yocto Krogoth Operating System versiónn 2.1, un componente de terceros empleado en los productos HMIBSC y EcoStruxure EV Charging Expert del fabricante, también está afectado al contener múltiples vulnerabilidades de severidad alta y crítica.
Schneider Electric ha publicado 8 avisos de seguridad que recogen un total de 8 vulnerabilidades, siendo 1 de severidad crítica, 5 altas, 1 media y 1 baja. A estas vulnerabilidades se añaden las incluidas en el componente externo Yocto Krogoth OS.
La explotación de estas vulnerabilidades podría permitir a un atacante acceder a información privada, generar fallos operativos, escalar privilegios, ejecutar código de forma remota, consumir los recursos, denegar el servicio y comprometer la integridad.
Actualizar los productos afectados a las versiones correctoras:
- EcoStruxure IT Data Center Expert, versión 8.2.
- Easergy Studio, versión 9.3.4.
- EVlink Home Smart, versión 2.0.6.0.0.
- Schneider Charge, versión 1.13.4.
- EcoStruxure PME, aplicar hotfix disponible en el centro de atención al cliente.
- Zelio Soft 2, versión 5.4.2.2.
- EcoStruxure EV Charging Expert, versiones 6.0.0 y posteriores.
Los productos Harmony Industrial PC han alcanzado el final de su vida útil (EoL), por lo que carecen de soporte. Se recomienda aplicar las medidas de mitigación descritas en las referencias. Adicionalmente, el fabricante no puede actualizar el sistema operativo de HMIBSC debido a limitaciones con el hardware y no puede proporcionar actualizaciones de seguridad a sus clientes.
La vulnerabilidad de severidad crítica, que afecta a las series de productos Harmony Industrial y Pro-face Industrial, podría provocar la exposición de credenciales cuando un atacante tiene acceso a la aplicación en la red a través del protocolo HTTP. Se ha asignado el identificador CVE-2024-8884 para esta vulnerabilidad.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2024-8531, CVE-2024-8530, CVE-2024-9002, CVE-2024-8070, CVE-2024-9005, CVE-2024-8422 y CVE-2024-8518.