Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 13/05/2020
Importancia
4 - Alta
Recursos Afectados
  • GP-Pro EX, versiones desde la versión 1.00, hasta la versión 4.09.100;
  • Vijeo Designer Basic, versión 1.1 HotFix 16 y anteriores;
  • Vijeo Designer, versión 6.2 SP9 y anteriores;
  • MTN6501-0001 – U.Motion – KNX Server;
  • MTN6501-0002 – U.Motion – KNX Server Plus;
  • MTN6260-0410 – U.Motion KNX server Plus, Touch 10;
  • MTN6260-0415 – U.Motion KNX server Plus, Touch 15;
  • MTN6260-0310 – U.Motion KNX Client Touch 10;
  • MTN6260-0315 – U.Motion KNX Client Touch 15.
  • [Actualización: 14/05/2020] EcoStruxure Operator Terminal Expert 3.1 Service Pack 1 y anteriores. (Producto conocido anteriormente como Vijeo XD).
Descripción

Varios investigadores de seguridad han reportado a Schneider Electric 9 vulnerabilidades, 3 de criticidad alta, 4 de criticidad media y 2 de criticidad baja. Estas vulnerabilidades son del tipo requisitos de contraseñas débiles, credenciales embebidas, control de acceso inadecuado, acceso a rutas no controlado e inyección SQL.

Solución
  • Actualizar GP-Pro EX a la versión 4.09.120;
  • Actualizar Vijeo Designer Basic a la versión 1.1 HotFix 17. Para obtener la actualización es necesario ponerse en contacto con el servicio de soporte de Schneider Electric;
  • Vijeo Designer recibirá la actualización en el próximo service pack;
  • Actualizar los dispositivos U.Motion Servers y Touch panels a la versión 1.4.2, consultar la sección de Referencias para obtener la actualización específica para cada dispositivo.
  • [Actualización: 14/05/2020] EcoStruxure Operator Terminal Expert 3.1 con el Service Pack 1A.
Detalle
  • La vulnerabilidad de criticidad alta afecta a los dispositivos Vijeo Designer y Designer Basic. Un atacante remoto podría utilizar credenciales embebidas para realizar modificaciones en el proyecto o firmware. Se ha reservado el identificador CVE-2020-7501 para esta vulnerabilidad.
  • [Actualización: 14/05/2020] Una vulnerabilidad de criticidad alta en EcoStructure Operator Terminal Expert, podría permitir a un atacante local, al abrir un archivo de proyecto, realizar ejecución de código arbitrario mediante una inyección SQL. Se ha reservado el identificador CVE-2020-7493 para esta vulnerabilidad.
  • [Actualización: 14/05/2020] ] Una vulnerabilidad de criticidad alta en EcoStructure Operator Terminal Expert, podría permitir a un atacante local, al abrir un archivo de proyecto, el acceso no controlado a rutas, pudiendo ocasionar una ejecución de código arbitrario. Se ha reservado el identificador CVE-2020-7494 para esta vulnerabilidad.
  • A las vulnerabilidades de criticidad media y baja se les han reservado los identificadores CVE-2020-7492, CVE-2020-7495, CVE-2020-7496, CVE-2020-7497, CVE-2020-7499 y CVE-2020-7500.

Encuesta valoración

Listado de referencias
Security Notification - U.motion Servers and Touch Panels
Security Notification - Vijeo Designer and Vijeo Designer Basic Software
Security Notification - Pro-face GP-Pro EX Programming Software
[Actualización 14/05/2020] EcoStruxure™ Operator Terminal Expert (Vijeo XD)
[Actualización 22/05/2020] ICS Advisory (ICSA-20-142-02) Schneider Electric EcoStruxure Operator Terminal Expert
Etiquetas