Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Schneider Electric

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 
09/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • IGSS Definition (Def.exe), versión V15.0.0.21041 y anteriores;
  • PM5560, versiones anteriores a V2.7.8;
  • PM5561, versiones anteriores a V10.7.3;
  • PM5562, versión V2.5.4 y anteriores;
  • PM5563, versiones anteriores a V2.7.8;
  • PM8ECC, todas las versiones;
  • EGX100, todas las versiones;
  • EGX300, todas las versiones;
  • Easergy T300, versiones V2.7.1 y anteriores;
  • Easergy C5, versiones hasta la 1.0.x y la versión ISaGRAF embebida 5.2 y anteriores;
  • MiCOM C264, versiones hasta la D6.x con la versión embebida ISaGRAF 5.2 y anteriores;
  • PACiS GTW y EPAS GTW, todos los puntos de acceso que soporten ISaGRAF 5.2 y anteriores;
  • Saitel DP, versión 11.06.21 y anteriores;
  • Saitel DR, versión 11.06.12 y anteriores;
  • SCADAPack 300E RTU, firmware 8.18.1 y anteriores;
  • SCADAPack 53xE RTU, firmware 8.18.1 y anteriores;
  • SCADAPack Workbench, firmware 6.6.8 y anteriores;
  • CP-3/MC-31, SCD2200 firmware versión 10024 y anteriores;
  • SAGE RTU, C3414 CPU, C3413 CPU, C3412 CPU, todas las versiones de firmware;
  • Modicon X80 BMXNOR0200H RTU SV1.70 IR22 y anteriores;
  • Enerlin’X Com’X, versiones anteriores a la V6.8.4.
Descripción: 

Schneider ha publicado un total de 28 vulnerabilidades, siendo 4 de severidad crítica, 19 altas y 5 medias.

Solución: 

Actualizar a las versiones descritas en la sección Remediation de cada aviso, o en caso de que el producto afectado sea EOL, seguir las medidas plasmadas en el apartado Mitigations.

Detalle: 
  • La vulnerabilidad de severidad crítica se refiere a una validación inadecuada de los datos de entrada que podría permitir a un atacante la denegación del servicio o la ejecución remota de código a través de un paquete HTTP especialmente diseñado. Se han asignado los identificadores CVE-2021-22765, CVE-2021-22767 y CVE-2021-22768.
  • Se han asignado los identificadores CVE-2021-22750, CVE-2021-22751, CVE-2021-22752, CVE-2021-22753, CVE-2021-22754, CVE-2021-22755, CVE-2021-22756, CVE-2021-22757, CVE-2021-22758, CVE-2021-22759, CVE-2021-22760, CVE-2021-22761, CVE-2021-22762, CVE-2021-22763, CVE-2021-22766 y CVE-2021-22769 para las vulnerabilidades de severidad alta.
  • Se han asignado los identificadores CVE-2021-22764 y CVE-2021-22749 para las vulnerabilidades de severidad media.
  • Adicionalmente se han reservado los identificadores CVE-2020-25176, CVE-2020-25178, CVE-2020-25182, CVE-2020-25184 y CVE-2020-25180.

Encuesta valoración