Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 15/02/2019
Importancia
4 - Alta
Recursos Afectados
  • Vijeo Designer Lite V1.3SP1
  • SoMachine Basic, todas las versiones
  • Modicon M221, todas las versiones de firmware anteriores a V1.10.0.0
  • Cámaras Pelco Sarix Enhanced de 1ª generación:
    • Cámaras de interior:
      • IMES19-1I, IMES19-1S, IMES19-1P, IME119-1I, IME119-1S, IME119-1P , IME219-1I, IME219-1S, IME219-1P, IME319-1I, IME319-1S, IME319-1P, IME319-B1I, IME319-B1S, IME319-B1P, IME3122-1I, IME3122-B1I, IME3122-1S, IME3122-B1S, IME3122-1P, IME3122B1P
    • Cámaras ambientales:
      • IMES19-1EI, IMES19-1ES, IMES19-1EP, IME119-1EI, IME119-1ES, IME119-1EP, IME219-1EI, IME219-1ES, IME219-1EP, IME319-1EI, IME319-1ES, IME319-1EP, IME3122-1EI, IME3122-1ES, IME3122-1EP
    • Cámaras resistentes al vandalismo:
      • IMES19-1VI, IMES19-1VS, IMES19-1VP, IME119-1VI, IME119-1VS, IME119-1VP, IME219-1VI, IME219-1VS, IME219-1VP, IME319-1VI, IME319-1VS, IME319-1VP, IME3122-1VI, IME3122-1VS, IME3122-1VP
    • Cámaras de caja:
      • IXES1, IXE11, IXE21, IXE31
    • Cámaras Spectra Enhanced PTZ:
      • D6220, D6220L, D6230 y D6230L
Descripción

Deng Yongkai de NSFOCUS, Gjoko Krstic de Zero Science, Matthias Niedermaier y Florian Fischer de Hochschule Augsburg, Jan-Ole Malchow de Freie Universität Berlin, Reid Wightman de Dragos Inc. y Schneider Electric han identificado varias vulnerabilidades, en los productos afectados, del tipo desbordamiento de búfer, permisos incorrectos, vulnerabilidades de entorno, inyección de comandos, XSS, CSRF y neutralización incorrecta de elementos especiales en consultas.

Solución
  • Vijeo Designer Lite: Está descontinuado desde junio de 2017. Para aquellos usuarios que requieran este producto, Schneider Electric aconseja que sea instalado en un sistema dedicado y con mínimos privilegios y accesos. Solo abrir proyectos DOP desde fuentes confiables.
  • SoMachine Basic: Actualizar a la versión 1.0 de software (EcoStruxure Machine Expert –Basic v 1.0)
  • Modicon M221: Actualizar a la versión de firmware v1.10.0.0
  • Cámaras Pelco Sarix Enhanced: Actualizar a la versión 2.2.3.0 de firmware.
  • Cámaras Spectra Enhanced PTZ: Actualizar a la versión 2..11 o superior de firmware
Detalle

Un usuario remoto malintencionado que aprovechara alguna de las vulnerabilidades descritas podría llegar a realizar las siguientes acciones en los productos afectados:

  • ejecución de código,
  • denegación de servicio,
  • borrado de ficheros,
  • conseguir acceso no autorizado.

Se han reservado los identificadores CVE-2018-7822, CVE-2018-7816, CVE-2018-7821, CVE-2018-7823, CVE-2018-7825, CVE-2018-7826, CVE-2018-7827, CVE-2018-7828 y CVE-2018-7829 para estas vulnerabilidades

Encuesta valoración

Listado de referencias
Security Notification –Vijeo Designer Lite
Security Notification –SoMachine Basic –Modicon M221
Security Notification –Pelco Sarix Enhanced and SpectraEnhanced
Etiquetas