Múltiples vulnerabilidades en Secheron SEPCOS Control and Protection Relay
INCIBE-2022-0812
- SEPCOS Single Package firmware (1.23.xx): versiones anteriores a 1.23.21;
- SEPCOS Single Package firmware (1.24.xx): versiones anteriores a 1.24.8;
- SEPCOS Single Package firmware (1.25.xx): versiones anteriores a 1.25.3.
Se ha informado de diversas vulnerabilidades en SEPCOS Control and Protection Relay que permitirían a un atacante obtener acceso completo al dispositivo a través de las vulnerabilidades del software de la interfaz S-Web, obteniendo el control sobre las funciones del PLC. Esto le permitiría, además, cargar configuraciones incorrectas subyacentes y escalar privilegios a través del sistema operativo o de FTP y SSH.
- Para versiones 1.23.xx, actualización a 1.23.22 o una versión superior;
- Para versiones 1.24.xx, actualización a 1.24.8 o una versión superior;
- Para versiones 1.25.xx, actualización a 1.25.3 o una versión superior.
Se han detectado vulnerabilidades en SEPCOS Control and Protection Relay por un control de acceso inadecuado, gestión de privilegios incorrecto y uso de credenciales protegidas insuficientemente, lo que supone hasta 5 vulnerabilidades de tipo crítico, una alta y una media.
Los CVE asignados para estas vulnerabilidades son: CVE-2022-2105, CVE-2022-1667, CVE-2022-2102, CVE-2022-1668, CVE-2022-2103, CVE-2022-2104 y CVE-2022-1666.
