Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Schneider Electric erakundearen produktuen ahultasunak

Argitalpen data: 2020/10/14

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • M340 CPUs: BMX P34x, 3.20ren aurreko firmware bertsioak.
  • M340 Communication Ethernet moduluak: 
    • BMX NOE 0100 (H), 3.3ren aurreko bertsioak;
    • BMX NOE 0110 (H), 6.5ren aurreko bertsioak;
    • BMX NOC 0401, 2.10en aurreko bertsioak.
  • Ethernet COPRO integratua duten premium prozesatzaileak: TSXP574634, TSXP575634 eta TSXP576634, 6.1en aurreko bertsioak.
  • Premium komunikazio moduluak: 
    • TSXETY4103, 6.2ren aurreko bertsioak;
    • TSXETY5103, 6.4ren aurreko bertsioak.
  • Ethernet COPRO integratua duten quantum prozesatzaileak: 140CPU65xxxxx, 6.1en aurreko bertsioak.
  • Quantum komunikazio moduluak: 
    • 140NOE771x1, 7.1en aurreko bertsioak;
    • 140NOC78x00, 1.74ren aurreko bertsioak;
    • 140NOC77101, 1.08ren aurreko bertsioak.
  • Produktu hauen bertsio guztiak: 
    • EcoStruxure Machine Expert (SoMachine eta SoMachine Motion gisa ezagunak);
    • E PLC400;
    • E PLC100;
    • E PLC_Setup;
    • EcoStruxure Machine SCADA Expert.
  • Acti9:
    • Smartlink SI D, 002.004.002 bertsioaren aurreko bertsio guztiak;
    • Smartlink SI B, 002.004.002 bertsioaren aurreko guztiak;
    • PowerTag Link / Link HD, 001.008.007 bertsioaren aurreko guztiak;
    • Smartlink EL B, 1.2.1 bertsioaren aurreko guztiak.
  • Wiser:
    • Link, 1.5.0en aurreko bertsio guztiak;
    • Energy, 1.5.0ren aurreko bertsio guztiak.
  • EcoStruxureTM:
    • Power Monitoring Expert, 9.0, 8.x eta 7.x bertsioak;
    • Energy Expert, 2.0 bertsioa:
    • Power SCADA Operation Advanced Reporting Dashboards Module sistemekin, 9.0 bertsioa.
  • Power Manager, 1.1, 1.2 eta 1.3 bertsioak.
  • StruxureWareTM PowerSCADA Expert Advanced Reporting eta Dashboards Module sistemekin, 8.x bertsioak.

Azalpena:

Schneider Electric erakundeak hainbat ahultasunen berri eman du: 2 kritikoak, 7 handiak eta 2 tartekoak. Motak: kredentzialen kudeaketa, memoria korrupzioa, egiaztatu gabeko eremu-luzera, lizentzia artxibo arbitrarioak sortzea, urruneko komunikazioa CodeMeter API delakoarekin, lizentzia artxiboen aldaketa edo sorkuntza, heap informazioa duten paketeen itzulera, nahiko aleatorioak ez diren balioak, sarbide kontrol desegokia eta sarbidearen neutralizazio desegokia webgune bat sortu bitartean.

Konponbidea:

Fabrikatzailearen abisu bakoitzeko Remediation atalean azaldutako eguneratze eta konfigurazio jarraibideei kasu egitea.

Xehetasunak:

Larritasun kritikoko ahultasunak ondoren azalduta daude:

  • Kredentzialen kudeaketa arloko ahultasun bat dago. Web zerbitzarian baimenik gabeko komandoak exekuta litezke, bereziki diseinatutako HTTP eskaerak bidalita. Ahultasun horretarako, CVE-2020-7533 identifikatzailea esleitu da.
  • Memoriaren korrupzioaren motako ahultasun bat dago. Horren bidez, CodeMeter paketeen analizatzailearen mekanismoak (7.10a bertsioaren aurreko guztiak) ez du eremuen luzera egiaztatzen. Erasotzaile batek paketeak bidal litzake, bereziki diseinatuak, ahultasun hori baliatzeko. Ahultasun horretarako, CVE-2020-14509 identifikatzailea esleitu da.

Gainerako ahultasunetarako, honako identifikatzaileak esleitu dira: CVE-2020-14513, CVE-2020-14515, CVE-2020-14517, CVE-2020-14519, CVE-2020-16233, CVE-2020-7548, CVE-2020-7545, CVE-2020-7546 eta CVE-2020-7547.

Etiketak: Eguneratzea, Azpiegitura kritikoak, SCADA, Schneider Electric, Ahultasuna.