Hainbat ahultasun Schneider Electric-en produktuetan

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak Konfiguratu Onartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/12

Garrantzia: Altua

Kaltetutako baliabideak:

IGSSupdate zerbitzua erabiltzen duten IGSS, 14 eta lehenagoko bertsioak;
Quantum Ethernet Network 140NOE771x1 modulua, 7.0 eta lehenagoko bertsioak;
Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak, bertsio guztiak;
Ethernet integratua duten Premium prozesadoreak, bertsio guztiak;
ZigBee-ren instalazio kit-a, 1.0.1 baino lehenagoko bertsio guztiak;
Andover Continuum Controllers, bertsio guztiak.

Azalpena:

Nsfocus-eko Yongjun Liu, Trend Micro Zero Day Inititative, CNITSEC, eta Niv Levy ikertzaileek zazpi ahultasunen berri eman dute: lau kritikotasun altukoak eta hiru ertainekoak, Schneider Electric-en hainbat produkturi eragiten dietenak. Erasotzaile batek pribilegioen eskalatzea egin lezake, zerbitzuaren ukapen egoera sortu, asmo gaiztoko kodea exekutatu, edo beharrezkoa den baimenik gabe informaziora sarbidea lortu.

Konponbidea:

Kaltetutako produktuetan ahultasunak konpontzeko Schneider Electric-ek hainbat eguneraketa argitaratu ditu.

ZigBee Toolkit, 1.01 bertsiora eguneratzea;
IGSS, 14.0.0.20009 bertsiora eguneratzea;
Quantum Ethernet Network 140NOE771x1 modulua, 7.1 bertsiora eguneratzea:
- 140NOE77101;
- 140NOE77111.
Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak: Erabiltzailearen gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
Ethernet integratua duten Premium prozesadoreak: Erabiltzailearen gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
Andover Continuum Controllers: produktu honek dagoeneko ez dauka zerbitzurik. Schneider Electric-ek gomendatzen du isolatutako sare segmentuetan erabiltzea, eta gainera ACLrekin firewall baten erabilpena, paketeen ikuskapen sakona eta paketeen iragazketa.

Xehetasuna:

Kritikotasun altuko ahultasunak honakoak dira:

Autentifikatu gabeko urruneko erabiltzaile batek fitxategien irakurketa modu arbitrarioan egin lezake IGSS zerbitzarian, murriztu edo partekatu gabeko sare batean, IGSS Update zerbitzua aktibo dagoenean. Ahultasun horretarako CVE-2020-7478 identifikatzailea erreserbatu da.
Erasotzaile batek normalean pribilegioen eskalatzea beharko luketen prozesuak exekuta litzake sareko komandoak IGSS Update zerbitzura bidaltzen direnean. Ahultasun horretarako CVE-2020-7479 identifikatzailea erreserbatu da.
Urruneko erasotzaile batek zerbitzuaren ukapen egoera eragin lezake komando landuak bidaltzen direnean Modbus-en bitartez. Ahultasun horretarako CVE-2020-7477 identifikatzailea erreserbatu da.
Urruneko erasotzaile batek zerbitzariko aplikazio baten XML datuen prozesamenduan eragin dezake eta horien informazioa eskuratu. Ahultasun horretarako CVE-2020-7480 identifikatzailea erreserbatu da.

Kritikotasun ertaineko ahultasunetarako honako identifikatzaileak erreserbatu dira: CVE-2020-7476, CVE-2020-7481 eta CVE-2020-7482.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna