Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 13/05/2020

Importancia: Alta

Recursos afectados:

  • GP-Pro EX, versiones desde la versión 1.00, hasta la versión 4.09.100;
  • Vijeo Designer Basic, versión 1.1 HotFix 16 y anteriores;
  • Vijeo Designer, versión 6.2 SP9 y anteriores;
  • MTN6501-0001 ? U.Motion ? KNX Server;
  • MTN6501-0002 ? U.Motion ? KNX Server Plus;
  • MTN6260-0410 ? U.Motion KNX server Plus, Touch 10;
  • MTN6260-0415 ? U.Motion KNX server Plus, Touch 15;
  • MTN6260-0310 ? U.Motion KNX Client Touch 10;
  • MTN6260-0315 ? U.Motion KNX Client Touch 15.

Descripción:

Varios investigadores de seguridad han reportado a Schneider Electric 4 vulnerabilidades, una de criticidad alta y 3 de criticidad media. Estas vulnerabilidades son del tipo requisitos de contraseñas débiles, credenciales embebidas, control de acceso inadecuado e inyección SQL.

Solución:

  • Actualizar GP-Pro EX a la versión 4.09.120;
  • Actualizar Vijeo Designer Basic a la versión 1.1 HotFix 17. Para obtener la actualización es necesario ponerse en contacto con el servicio de soporte de Schneider Electric;
  • Vijeo Designer recibirá la actualización en el próximo service pack;
  • Actualizar los dispositivos U.Motion Servers y Touch panels a la versión 1.4.2, consultar la sección de Referencias para obtener la actualización específica para cada dispositivo.

Detalle:

  • La vulnerabilidad de criticidad alta afecta a los dispositivos Vijeo Designer y Designer Basic. Un atacante remoto podría utilizar credenciales embebidas para realizar modificaciones en el proyecto o firmware. Se ha reservado el identificador CVE-2020-7501 para esta vulnerabilidad.
  • A las vulnerabilidades de criticidad media se les han reservado los identificadores CVE-2020-7492, CVE-2020-7492 y CVE-2020-7500.

Etiquetas: Actualización, Schneider Electric, Vulnerabilidad