Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Schneider Electric-en 2020ko apirileko segurtasun buletina

Argitalpen data: 2020/04/15

Garrantzia: Altua

Kaltetutako baliabideak:

  • SoMachine, SoMachine Basic eta SoMachine Motion, bertsio guztiak;
  • EcoStruxure Machine Expert eta Basic, bertsio guztiak;
  • Modicon M100/M200/M218/M221/M241/M251/M258 Logic Controller, bertsio guztiak;
  • Vijeo Designer Basic, 1.1 HotFix 15 eta lehenagoko bertsioak;
  • Vijeo Designer, 6.9 SP9 eta lehenagoko bertsioak;
  • TriStation TS1131, 4.0.0tik 4.9.0 eta 4.10.0 bertsioetaraino, Windows NT, Windows XP eta Windows 7n exekutatzen direnean;
  • Tricon, 10.0, 10.1, 10.2.x eta 10.3.x bertsioak;
  • Tricon Communications Module, 4351, 4352, 4351A/B eta 4352A/B modeloak.

Azalpena:

Trustwave-ko Seok Min Lim eta Johnny Pan, 307Lab eta Zhejiang University-ko Rongkuan Ma, Shunkai Zhu eta Peng Cheng, nsfocus-eko Yongjun Liu, eta beste ikertzaile independente batek larritasun altu eta ertaineko 8 ahultasunen berri eman diote Schneider Electric-i, era ezberdinetakoak: elementuen neutralizazio desegokia irteeran, datuen egiazkotasunaren baliozkotze ez-nahikoa, datu sentikorren transmisioa zifratu gabe, fidagarria ez den bilaketa bidea, zerbitzuaren ukapena eta host-era sarbide desegokia.

Konponbidea:

Fabrikatzailearen ohartarazpen bakoitzean Remediation / Available Remediations atalean azaldutako eguneratze eta konfiguratze jarraibideak betetzea.

Xehetasuna:

Ahultasun horiek baliatuko lituzkeen erasotzaile batek honako ekintzak egin litzake:

  • asmo gaiztoko kodearen transferentzia kontrolatzailera,
  • asmo gaiztoko kodea exekutatzea,
  • informazio sentikorraren ihesa,
  • kode arbitrarioa exekutatzea,
  • informazio konfidentziala lauan bidaltzea,
  • zerbitzuaren ukapena (DoS),
  • sarbide desegokia host makinara,
  • moduluen berrasieratzea sareak trafiko altuko baldintzak dituenean.

Ahultasun horietarako honako identifikatzaileak erreserbatu dira: CVE-2020-7489, CVE-2020-7487, CVE-2020-7488, CVE-2020-7490, CVE-2020-7483, CVE-2020-7484, CVE-2020-7485 eta CVE-2020-7486.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna