Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

[Actualización 23/06/2022] Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 16/06/2022
Identificador

INCIBE-2022-0789

Importancia
5 - Crítica
Recursos Afectados
  • Geo SCADA Mobile, build 222 y anteriores;
  • Conext™ ComBox, todas las versiones;
  • EcoStruxure Power Commission, versiones anteriores a la V2.22;
  • Schneider Electric C-Bus Network Automation Controller, versión LSS5500NAC V1.10.0 y anteriores;
  • Schneider Electric Wiser for C-Bus Automation Controller, versión LSS5500SHAC V1.10.0 y anteriores;
  • Clipsal C-Bus Network Automation Controller, versión 5500NAC V1.10.0 y anteriores;
  • Clipsal Wiser for C-Bus Automation Controller, versión 5500SHAC V1.10.0 y anteriores;
  • SpaceLogic C-Bus Network Automation Controller, versión 5500NAC2 V1.10.0 y anteriores;
  • SpaceLogic C-Bus Application Controller, versión 5500AC2 V1.10.0 y anteriores;
  • CanBRASS, versiones anteriores a la V7.5.1;
  • EcoStruxure™ Cybersecurity Admin Expert (CAE), versiones 2.2 y anteriores.
Descripción

Schneider ha publicado 24 vulnerabilidades, siendo 9 de severidad crítica, 9 altas, 5 medias y 1 baja.

Solución

Aplicar las actualizaciones y las medidas de mitigación descritas en Mitigations en la sección de Referencias de cada uno de los productos.

Detalle

Las vulnerabilidades de severidad crítica son:

  • La copia de búfer sin comprobación del tamaño de entrada (desbordamiento de búfer clásico) podría permitir a un atacante la ejecución remota de código, mediante el envío de mensajes de datos de alarma especialmente diseñados. Se han asignado los identificadores: CVE-2022-32522, CVE-2022-32523, CVE-2022-32524, CVE-2022-32525, CVE-2022-32526, CVE-2022-32527 y CVE-2022-32529.
  • Los requisitos débiles en las contraseñas, podrían permitir a un atacante obtener el control del dispositivo mediante la fuerza bruta. Se ha asignado el identificador CVE-2022-32513 para esta vulnerabilidad.
  • La autenticación incorrecta podría permitir a un atacante obtener el control del dispositivo al iniciar sesión en una página web. Se ha asignado el identificador CVE-2022-32514 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-32528, CVE-2022-32515, CVE-2022-32516, CVE-2022-32518, CVE-2022-32519, CVE-2022-32520, CVE-2022-32521, CVE-2022-32747 y CVE-2022-32748.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-32530, CVE-2022-32517, CVE-2022-0223, CVE-2022-22731 y CVE-2022-32512.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2022-22732.

Encuesta valoración

Listado de referencias
[Actualización 23/06/2022] IGSS (Interactive Graphical SCADA System)
Geo SCADA Mobile
Conext™ Combox
[Actualización 20/06/2022] Data Center Expert
EcoStruxure Power Commission
Schneider Electric C-Bus Home Automation Products
CanBRASS
EcoStruxure™ Cybersecurity Admin Expert
Etiquetas