Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 13/05/2020

Importancia: Alta

Recursos afectados:

• GP-Pro EX, versiones desde la versión 1.00, hasta la versión 4.09.100;
• Vijeo Designer Basic, versión 1.1 HotFix 16 y anteriores;
• Vijeo Designer, versión 6.2 SP9 y anteriores;
• MTN6501-0001 ? U.Motion ? KNX Server;
• MTN6501-0002 ? U.Motion ? KNX Server Plus;
• MTN6260-0410 ? U.Motion KNX server Plus, Touch 10;
• MTN6260-0415 ? U.Motion KNX server Plus, Touch 15;
• MTN6260-0310 ? U.Motion KNX Client Touch 10;
• MTN6260-0315 ? U.Motion KNX Client Touch 15.

Descripción:

Varios investigadores de seguridad han reportado a Schneider Electric 4 vulnerabilidades, una de criticidad alta y 3 de criticidad media. Estas vulnerabilidades son del tipo requisitos de contraseñas débiles, credenciales embebidas, control de acceso inadecuado e inyección SQL.

Solución:

• Actualizar GP-Pro EX a la versión 4.09.120;
• Actualizar Vijeo Designer Basic a la versión 1.1 HotFix 17. Para obtener la actualización es necesario ponerse en contacto con el servicio de soporte de Schneider Electric;
• Vijeo Designer recibirá la actualización en el próximo service pack;
• Actualizar los dispositivos U.Motion Servers y Touch panels a la versión 1.4.2, consultar la sección de Referencias para obtener la actualización específica para cada dispositivo.

Detalle:

• La vulnerabilidad de criticidad alta afecta a los dispositivos Vijeo Designer y Designer Basic. Un atacante remoto podría utilizar credenciales embebidas para realizar modificaciones en el proyecto o firmware. Se ha reservado el identificador CVE-2020-7501 para esta vulnerabilidad.
• A las vulnerabilidades de criticidad media se les han reservado los identificadores CVE-2020-7492, CVE-2020-7492 y CVE-2020-7500.

Etiquetas: Actualización, Schneider Electric, Vulnerabilidad