Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Schneider Electric erakundearen produktuen ahultasunak

Argitalpen data: 2020/11/11

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • M340 CPUs:
    • BMX P34x, bertsio guztiak.
  • M340 Communication Ethernet moduluak:
    • BMX NOE 0100 (H), bertsio guztiak;
    • BMX NOE 0110 (H), bertsio guztiak;
    • BMX NOC 0401, bertsio guztiak;
    • BMX NOR 0200H, bertsio guztiak.
  • Ethernet COPRO integratua duten premium prozesatzaileak:
    • TSXP574634, TSXP575634 y TSXP576634, bertsio guztiak.
  • Premium komunikazio moduluak: 
    • TSXETY4103, bertsio guztiak;
    • TSXETY5103, bertsio guztiak.
  • Ethernet COPRO integratua duten quantum prozesatzaileak: 
    • 140CPU65xxxxx, bertsio guztiak.
  • Quantum komunikazio moduluak: 
    • 140NOE771x1, bertsio guztiak;
    • 140NOC78x00, bertsio guztiak;
    • 140NOC77101, bertsio guztiak.
  • EcoStruxureTM Operator Terminal Expert Runtime 3.1 Service Pack 1A eta hauetan instalatutako aurrekoak: 
    • Windows PC, legacy moduan BIOS erabiliz;
    • Harmony iPC (HMIG5U, HMIG5U2) legacy moduan BIOS erabiliz.
  • IGSS Definition (Def.exe), 14.0.0.20247 bertsioa eta aurrekoak.
  • EcoStruxure Building Operation:
    • WebReports, 1.9tik 3.1era bitarteko bertsioak;
    • WebStation, 2.0tik 3.1era bitarteko bertsioak;
    • Enterprise Server instalatzailea, 1.9tik 3.1era bitarteko bertsioak;
    • Enterprise Central instalatzailea, 2.0tik 3.1era bitarteko bertsioak;
  • Modicon M221, erreferentzia guztiak bertsio guztietan.
  • Easergy T300, 2.7  firmware bertsioa eta aurrekoak.
  • PLC Simulator, EcoStruxureTM Control Expert-erako, bertsio guztiak.
  • PLC Simulator, Unity Pro-rako (lehen EcoStruxureTM Control Expert deitzen zen), bertsio guztiak.

Azalpena:

Schneider Electric erakundeak hainbat ahultasunen berri eman du: 3 larritasun kritikokoak, 16 handikoak, 9 tartekoak eta 2 baxukoak.

Konponbidea:

Fabrikatzailearen abisu bakoitzeko Remediation atalean azaldutako eguneratze eta konfigurazio jarraibideei kasu egitea. Referencias atalean lokalizatu daitezke.

Xehetasunak:

Larritasun kritikoko ahultasunak ondoren azalduta daude:

  • Sarbide kontrol desegokiaren motako ahultasun bat dago, eta horrek arazo ugari sor ditzake. Horien artean daude informazioa erakusgai geratzea, zerbitzu ukapena (DoS) eta komandoen exekuzioa erasotzaile baten sarbidea ez dagoenean mugatuta edo behar ez den moduan mugatuta dagoenean. Ahultasun horretarako, CVE-2020-7561 identifikatzailea esleitu da.
  • Buffer klasikoaren gainezkatze motako ahultasun bat dago, eta horrek EcoStruxure TM Control Expert softwarean dagoen PLC simulagailua blokeatu lezake, bereziki diseinatutako eskaera bat Modbus bidez jasotzean. Ahultasun horretarako, CVE-2020-7559 identifikatzailea esleitu da.
  • Egiaztatze saiakeren muga desegokiaren motako ahultasun bat dago, eta, horren ondorioz, baimendu gabeko komandoak exekuta litezke, Modbus bidez indarrez eraso bat egiten denean. Ahultasun horretarako, CVE-2020-28212 identifikatzailea esleitu da.

Gainerako ahultasunetarako, honako identifikatzaileak esleitu dira: CVE-2020-7562, CVE-2020-7563, CVE-2020-7564, CVE-2020-7544, CVE-2020-7550, CVE-2020-7551, CVE-2020-7552, CVE-2020-7553, CVE-2020-7554, CVE-2020-7555, CVE-2020-7556, CVE-2020-7557, CVE-2020-7558, CVE-2020-7569, CVE-2020-7570, CVE-2020-7571, CVE-2020-7572, CVE-2020-28209, CVE-2020-28210, CVE-2020-7565, CVE-2020-7566, CVE-2020-7567, CVE-2020-7568, CVE-2020-7538, CVE-2020-28211 eta CVE-2020-28213.

Etiketak: Eguneratzea, Azpiegitura kritikoak, SCADA, Schneider Electric, Ahultasuna.