Argitalpen data: 2020/03/12
Garrantzia:
Altua
Kaltetutako baliabideak:
- IGSSupdate zerbitzua erabiltzen duten IGSS, 14 eta lehenagoko bertsioak;
- Quantum Ethernet Network 140NOE771x1 modulua, 7.0 eta lehenagoko bertsioak;
- Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak, bertsio guztiak;
- Ethernet integratua duten Premium prozesadoreak, bertsio guztiak;
- ZigBee-ren instalazio kit-a, 1.0.1 baino lehenagoko bertsio guztiak;
- Andover Continuum Controllers, bertsio guztiak.
Azalpena:
Nsfocus-eko Yongjun Liu, Trend Micro Zero
Day Inititative, CNITSEC, eta Niv Levy ikertzaileek zazpi ahultasunen berri
eman dute: lau kritikotasun altukoak eta hiru ertainekoak, Schneider
Electric-en hainbat produkturi eragiten dietenak. Erasotzaile batek
pribilegioen eskalatzea egin lezake, zerbitzuaren ukapen egoera sortu, asmo
gaiztoko kodea exekutatu, edo beharrezkoa den baimenik gabe informaziora
sarbidea lortu.
Konponbidea:
Kaltetutako produktuetan ahultasunak
konpontzeko Schneider Electric-ek hainbat eguneraketa argitaratu ditu.
- ZigBee Toolkit, 1.01
bertsiora eguneratzea;
- IGSS, 14.0.0.20009 bertsiora eguneratzea;
- Quantum Ethernet Network 140NOE771x1 modulua, 7.1 bertsiora eguneratzea:
- Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak: Erabiltzailearen
gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
- Ethernet integratua duten Premium prozesadoreak: Erabiltzailearen
gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
- Andover Continuum Controllers: produktu honek dagoeneko ez dauka zerbitzurik. Schneider Electric-ek gomendatzen du isolatutako sare segmentuetan erabiltzea, eta gainera ACLrekin firewall baten erabilpena, paketeen ikuskapen sakona eta paketeen iragazketa.
Xehetasuna:
Kritikotasun altuko ahultasunak honakoak dira:
- Autentifikatu gabeko urruneko erabiltzaile batek fitxategien irakurketa modu arbitrarioan egin lezake IGSS zerbitzarian, murriztu edo partekatu gabeko sare batean, IGSS Update zerbitzua aktibo dagoenean. Ahultasun horretarako CVE-2020-7478 identifikatzailea erreserbatu da.
- Erasotzaile batek normalean pribilegioen eskalatzea beharko luketen prozesuak exekuta litzake sareko komandoak IGSS Update zerbitzura bidaltzen direnean. Ahultasun horretarako CVE-2020-7479 identifikatzailea erreserbatu da.
- Urruneko erasotzaile batek zerbitzuaren ukapen egoera eragin lezake komando landuak bidaltzen direnean Modbus-en bitartez. Ahultasun horretarako CVE-2020-7477 identifikatzailea erreserbatu da.
- Urruneko erasotzaile batek zerbitzariko aplikazio baten XML datuen prozesamenduan eragin dezake eta horien informazioa eskuratu. Ahultasun horretarako CVE-2020-7480 identifikatzailea erreserbatu da.
Kritikotasun ertaineko ahultasunetarako honako identifikatzaileak erreserbatu dira: CVE-2020-7476, CVE-2020-7481 eta CVE-2020-7482.
Etiketak: Eguneraketa, Schneider Electric, Ahultasuna