Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 13/01/2021

Importancia: Crítica

Recursos afectados:

  • EcoStruxure Power Build - Rapsody, versiones 2.1.13 y anteriores;
  • EcoStruxureTM Operator Terminal Expert 3.1 Service Pack 1A y anteriores, con Harmony HMIs:
    • Series HMIST6,
    • HMIG3U en series HMIGTU,
    • Series HMISTO.
  • Pro-face BLUE 3.1 Service Pack 1A y anteriores, con Pro-face HMIs:
    • Series ST6000,
    • SP-5B41 en series SP5000,
    • Series GP4100.

Descripción:

Schneider Electric ha publicado tres vulnerabilidades, de severidad alta, que afecta a alguno de sus productos.

Solución:

  • La solución para la vulnerabilidad en EcoStruxure Power Build - Rapsody, está prevista para el primer semestre de 2021, hasta ese momento el fabricante recomienda:
    • Aplicar el principio del menor privilegio para limitar el acceso a la computadora que ejecuta el software Rapsody.
    • Implementar una lista blanca de aplicaciones para bloquear la ejecución de código malicioso.
    • Instalar un antivirus en el ordenador y mantenerlo actualizado.
  • Actualizar a EcoStruxureTM Operator Terminal Expert V3.1 Service Pack 1B;
  • Actualizar a Pro-face BLUE V3.1 Service Pack 1B;

Detalle:

  • Cuando se sube un archivo SSD malicioso y se analiza inadecuadamente, un atacante podría causar una condición de uso de la memoria previamente liberada (use-after-free) o un desbordamiento del búfer basado en la pila (stack) que resultaría en la ejecución de código remoto. Se han asignado los identificadores CVE-2021-22697 y CVE-2021-22698 para esta vulnerabilidad.
  • Una vulnerabilidad de validación de entrada inapropiada podría permitir a un atacante la ejecución de código arbitrario cuando la función Ethernet Download está habilitada en el HMI. Se ha asignado el identificador CVE-2020-28221 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad