Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades críticas en Schneider ETG3000 FactoryCast HMI Gateway

Vulnerabilidades críticas en Schneider ETG3000 FactoryCast HMI Gateway

Fecha de publicación: 
21/01/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Todas las versiones siguientes de Schneider Electric ETG3000 FactoryCast HMI Gateway están afectadas:

  • TSXETG3000
  • TSXETG3010
  • TSXETG3021
  • TSXETG3022
Descripción: 

Se han identificado varias vulnerabilidades críticas en Schneider Electric ETG3000 FactoryCast HMI Gateway. El fabricante ha publicado una nueva versión de firmware.

Solución: 

Schneider Electric ha publicado la actualización de firmware V1.60 IR 04 que proporciona solución a las vulnerabilidades.

La actualización está disponible en el siguiente enlace:

http://www.schneider-electric.com/download/WW/EN/details/681790255-TSXETG30xx-V160-IR4/?showAsIframe=true&reference=ETG30xxV160-IR04

Detalle: 

Qualys Security ha descubierto las siguientes vulnerabilidades que permiten acceso remoto no autorizado a ficheros y a la cuenta FTP del producto Gateway Schneider ETG3000 FactoryCast HMI:

  • Acceso no autorizado. El fichero red.jar es accesible sin autenticación necesaria lo que permite a un atacante obtener detalles de la instalación y configuración del sistema.
  • Credenciales FTP en código. Las credenciales de acceso a la cuenta FTP se especifican en el código del servidor ftp, lo que permite a un atacante acceso no autorizado.

Ambas vulnerabilidades son críticas y tienen reservados los identificadores CVE-2014-9197 y CVE-2014-9198 respectivamente.