Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Fecha de publicación: 
17/09/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • EcoStruxure Control Expert, todas las versiones, inclusive el antiguo Unity Pro;
  • EcoStruxure Process Expert, todas las versiones, inclusive el antiguo HDCS;
  • SCADAPack RemoteConnect x70, todas las versiones.
Descripción: 

El investigador, Kimiya, trabajando junto a Trend Micro ZDI, ha reportado al CISA una vulnerabilidad de severidad alta que podría permitir a un atacante la ejecución de código arbitrario.

Solución: 

El fabricante recomienda las siguientes medidas hasta que se publique una actualización que incluya el parche para el producto:

  • almacenar los archivos de proyecto en una ubicación segura y limitar el acceso a usuarios confiables,
  • usar un protocolo seguro para el intercambio de archivos en la red,
  • reforzar la seguridad de las estaciones de trabajo en las que se ejecuten los productos afectados,
  • comprobar la integridad de cualquier archivo de proyecto mediante checksum,
  • iniciar el software sin privilegios de administrador.

Para los usuarios de Unity Pro, se recomienda que migren a EcoStruxure Control Expert.

Detalle: 

Subir un archivo de proyecto malicioso a la estación de trabajo, que ejecuta uno de los software afectados, podría permitir a un atacante ejecutar código arbitrario en una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2021-22797 para esta vulnerabilidad.

Encuesta valoración