Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric produktuetan

Argitalpen-data: 2021/09/15

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • EcoStruxure Control Expert, bertsio guztiak, Unity Pro barne;
  • EcoStruxure Process Expert, bertsio guztiak, HDCS barne;
  • SCADAPack RemoteConnect x70-rako, bertsio guztiak;
  • Modicon M340 CPU, BMXP34*, V3.40ren aurrekoa;
  • Modicon M340 X80, Ethernet Communication modules, BMXNOR0200H RTU, V1.70 IR23-ren aurrekoa;
  • Modicon M340 Ethernet Communication modules BMXNOE0100(H), bertsio guztiak;
  • Modicon M340 Ethernet TCP/IP network module BMXNOC0401, bertsio guztiak;
  • Modicon Quantum processors, Ethernet COPRO 140CPU65xxxxx integrazioarekin, bertsio guztiak;
  • Modicon Quantum Communication Modules: 140NOC78x00, 140NOC77101, 140NOE771x1, bertsio guztiak;
  • Modicon Premium processors integrated Ethernet COPRO: TSXP574634, TSXP575634, TSXP576634, bertsio guztiak;
  • Modicon Premium Communication Modules: TSXETY4103, TSXETY5103, bertsio guztiak;
  • StruxureWare Data Center Expert, 7.8.1 bertsioak eta aurrekoak;
  • ConextTM ComBox, bertsio guztiak.

Deskribapena:

Larritasun kritikoko 2 ahultasun, larritasun handiko 4 eta tarteko larritasuneko bat argitaratu dira. Horien bidez, erasotzaile batek kodearen exekuzioa burutu lezake, informazioa zabaldu, zerbitzua ukatu edota sarbide-kredentzialak lortu.

Konponbidea:

  • EcoStruxure Control Expert, EcoStruxure Process Expert eta SCADAPack RemoteConnect (x70rako) eguneraketa bat lantzen ari da. Ordura arte, honakoa gomendatzen da:
    • Proiektu artxiboak modu seguruan gordetzea. Artxiboetarako sarbidea mugatzea, soilik konfiantzazko erabiltzaileei baimena emanez;
    • Komunikazio protokolo seguruak erabiltzea sarearen bidez artxiboak trukatzeko;
    • EcoStruxure Control Expert edo EcoStruxure Process Expert, edo SCADAPack RemoteConnectTM exekutatzea lanaren estazioan;
    • Proiektu artxiboetan konprobatze-kopuru bat kalkulatzea kopuru horren sendotasuna konprobatzea, erabili aurretik osotasuna konprobatzeko;
    • Softwarea abiaraztea, administrari eskubiderik gabe, ateratako artxiboak sistemaren karpeta kritikoetan kopiatzea saihesteko.
  • Modicon M340 CPU, BMXP34* sistemarako V3.40 bertsiora eguneratzea;
  • M340 X80, Ethernet Communication modules, BMXNOR0200H RTU sistemarako, V1.70 IR23 bertsiora eguneratzea. Eguneratze berriak lantzen ari dira.
  • ConextTM ComBox sistemarako, eguneratze bat lantzen ari dira. Ordura arte, honakoa gomendatzen da:
    • Tokiko sareko trafikoa mugatzea,
    • Ordenagailu ezezagunei sarerako sarbiderik ez ematea,
    • Urruneko sarbidea funtsezkoa denean, metodo seguruak erabiltzea, hala nola sare pribatu birtualak (VPN), eta ziurtatzea urruneko sarbidea edo sarbideak zein urruneko ordenagailuak azken segurtasun-partxeen bidez eguneratuta egotea ziurtatzea.
  • Gainerako produktuetarako eguneraketak lantzen ari dira. Kontsultatu erreferentzien atala informazio gehiago lortzeko.

Xehetasuna:

  • Direktorioaren izena ibilbide mugatu batera oker mugatzearen ondorioz, erasotzaile batek kodearen urruneko exekuzioa burutu lezake. CVE-2021-22794 identifikatzailea esleitu da larritasun kritiko horretarako.
  • Sistema eragilearen komandoetan erabilitako karaktere berezien neutralizazio desegokiaren bidez, erasotzaile batek kodearen urruneko exekuzioa burutu lezake. CVE-2021-22795 identifikatzailea esleitu da ahultasun kritiko horretarako.

Larritasun handiko gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2021-22797, CVE-2021-22785, CVE-2021-22788 eta CVE-2021-22787.

Tarteko larritasuneko ahultasunerako CVE-2021-22798 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Schneider Electric, Ahultasuna