Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 11/12/2019

Importancia: Alta

Recursos afectados:

  • Modicon:
    • M580 todas las versiones anteriores a V2.80,
    • M340 todas las versiones anteriores a V3.01,
    • Premium todas las versiones anteriores a V3.20,
    • Quantum todas las versiones anteriores a V3.60.
  • EcoStruxureTM Control Expert V14.0 y todas las versions de Unity Pro (anteriormente llamado EcoStruxureTM Control Expert).
  • Saitel DP (866e) todas las versiones anteriores a 11.06.08.
  • Saitel DR (HUe) todas las versiones anteriores a 11.06.08.
  • Power SCADA, incluyendo las actualizaciones acumulativas asociadas:
    • Operation 9.0,
    • Expert 8.2,
    • Expert 8.1,
    • Expert 8.0,
    • Expert 7.4,
    • Expert 7.3.
  • ClearSCADA 2017, 2017 R3 y 2017 R2.

Descripción:

Schneider han detectado cinco vulnerabilidades, 3 de criticidad alta, una media y una baja que afectan a múltiples dispositivos de Schneider Electric.Un atacante remoto podría causar una denegación de servicio, omitir la autenticación, ejecutar código arbitrario o realizar modificaciones en los archivos de sistema.

Solución:

Scheneider ha publicado una serie de actualizaciones y mitigaciones para los productos afectados. Consultar el apartado Referencias para más información.

Detalle:

  • Debido a una verificación indebida para condiciones excepcionales o inusuales en el controlador, usando ModbusTCP, al leer bloques específicos de memoria o datos con índices inválidos. Un atacante local podría causar una denegación de servicio del controlador. Se han reservado los identificadores CVE-2019-6857, CVE-2019-6856 y CVE-2018-7794 para esta vulnerabilidad.
  • Esta vulnerabilidad podría permitir saltarse el proceso de autenticación entre EcoStruxure Control Expert y el controlador. Se ha reservado el identificador CVE-2019-6855 para esta vulnerabilidad.
  • Debido a una falta de comprobación del tamaño de entrada al copiar el búfer, podría causar un desbordamiento de este. Un atacante local podría utilzar una entrada maliciosa con excesiva recursividad. Se ha reservado el identificador CVE-2019-6858 para esta vulnerabilidad.
  • Fallos en la verificación de permisos, privilegios y controles de acceso en una carpeta dentro de ClearSCADA, lo que podría permitir a un usuario con bajos privilegios el eliminar o modificar bases de datos, ajustes y certificados. Dichos usuarios deben tener acceso al sistema de archivos de dicho sistema operativo para explotar la vulnerabilidad. Se ha asignado el identificador CVE-2019-6854 para esta vulnerabilidad.

Etiquetas: Actualización, Schneider Electric, Vulnerabilidad