Dos nuevos avisos de SCI
Múltiples vulnerabilidades en productos ADS-TEC
- IRF1000, versiones anteriores a 1.5.0;
- IRF2000, versiones anteriores a 4.4.0;
- IRF3000, versiones anteriores a 1.2.0.
La empresa afectada ADS-TEC, coordinada por el CERT@VDE, ha identificado múltiples vulnerabilidades en distintos productos, concretamente 8 críticas, 9 altas y 1 media.
Actualizar el firmware a las versiones:
- IRF1000: 1.5.0;
- IRF2000: 4.4.0;
- IRF3000: 1.2.0.
Las vulnerabilidades críticas corresponden con los siguientes tipos:
- denegación de servicio (CVE-2015-8876 y CVE-2016-7124);
- ejecución arbitraria de código o denegación de servicio (CVE-2015-6835 y CVE-2015-4602);
- restricción inadecuada de operaciones dentro de los límites de un búfer de memoria (CVE-2016-7411);
- uso de memoria después de ser liberada (CVE-2016-9138);
- lectura fuera de límites (CVE-2017-12933);
- escritura fuera de límites (CVE-2017-8923).
Los identificadores del resto de vulnerabilidades no críticas se pueden consultar en el aviso del CERT@VDE incluido en las referencias.
Transmisión de información confidencial sin cifrar en productos de Schneider Electric
- PowerLogic ION9000, ION7400 y PM8000, versiones anteriores a la 4.0.0,
- PowerLogic ION8650 y ION8800, todas sus versiones,
- Legacy ION, todas sus versiones.
Schneider Electric ha comunicado que existe una vulnerabilidad de severidad alta que podría provocar la divulgación de información confidencial sin cifrar, la denegación de servicio o la modificación de datos si un atacante es capaz de interceptar el tráfico de red.
Actualizar a las versiones disponibles:
- Para la versión 4.0.0 y posteriores del firmware PowerLogic ION9000: https://www.se.com/ww/en/product-range/64241-powerlogicion9000/#software-and-firmware
- Para la versión 4.0.0 y posteriores del firmware PowerLogic ION7400: https://www.se.com/ww/en/product-range/63502-powerlogicion7400/#software-and-firmware
- Para la versión 4.0.0 y posteriores de PowerLogic PM8000: https://www.se.com/ww/en/product-range/62252-powerlogicpm8000-series/#software-and-firmware
La vulnerabilidad de severidad alta podría permitir, a un atacante con acceso a la red, divulgar información confidencial sin cifrar, realizar una denegación de servicio o modificar datos.
Se ha asignado el identificador CVE-2022-46680 para esta vulnerabilidad.