Múltiples vulnerabilidades en productos Schneider Electric

Descripción

Schneider Electric ha publicado tres vulnerabilidades, de severidad alta, que afecta a alguno de sus productos.

  • CVE-2021-22697, CVE-2021-22698: Cuando se sube un archivo SSD malicioso y se analiza inadecuadamente, un atacante podría causar una condición de uso de la memoria previamente liberada (use-after-free) o un desbordamiento del búfer basado en la pila (stack) que resultaría en la ejecución de código remoto.
  • CVE-2020-28221: Una vulnerabilidad de validación de entrada inapropiada podría permitir a un atacante la ejecución de código arbitrario cuando la función Ethernet Download está habilitada en el HMI.

Recursos afectados

  • EcoStruxure Power Build – Rapsody, versiones 2.1.13 y anteriores.
  • EcoStruxure™ Operator Terminal Expert 3.1 Service Pack 1A y anteriores, con Harmony HMIs:
    1. Series HMIST6
    2. HMIG3U en series HMIGTU
    3. Series HMISTO
  • Pro-face BLUE 3.1 Service Pack 1A y anteriores, con Pro-face HMIs:
    1. Series ST6000
    2. SP-5B41 en series SP5000
    3. Series GP4100

Solución

  • La solución para la vulnerabilidad en EcoStruxure Power Build – Rapsody, está prevista para el primer semestre de 2021, hasta ese momento el fabricante recomienda:
    1. Aplicar el principio del menor privilegio para limitar el acceso a la computadora que ejecuta el software Rapsody.
    2. Implementar una lista blanca de aplicaciones para bloquear la ejecución de código malicioso.
    3. Instalar un antivirus en el ordenador y mantenerlo actualizado.
  • Actualizar a EcoStruxure™ Operator Terminal Expert V3.1 Service Pack 1B
  • Actualizar a Pro-face BLUE V3.1 Service Pack 1B

Referencias

EcoStruxure™ Operator Terminal Expert V3.1 Service Pack 1B
Pro-face BLUE V3.1 Service Pack 1B

Artículos relacionados

Etiqueta Seresco