Vulnerabilità in prodotti Schneider Electric (AL05/230215/CSIRT-ITA)

Feb 15, 2023 | Articoli, Uncategorized

Sintesi

Sanate nuove vulnerabilità presenti in alcuni prodotti – anche SCADA – di Schneider Electric, di cui 7 con gravità “alta”.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (71,53/100)1.

Tipologia

  • Authentication Bypass
  • Data Manipulation
  • Information Disclosure
  • Privilege Escalation
  • Remote Code Execution

Prodotti e versioni affette

Schneider Electric:

  • StruxureWare Data Center Expert
  • Merten KNX devices

Azioni di mitigazione

Si raccomanda di implementare le azioni di mitigazione – per ciascun prodotto interessato – seguendo le istruzioni riportate nel bollettino di sicurezza presente nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2023-25547

CVE-2023-25548

CVE-2023-25549

CVE-2023-25550

CVE-2023-25552

CVE-2023-25554

CVE-2023-25556

Riferimenti

https://www.se.com/ww/en/work/support/cybersecurity/vulnerability-policy.jsp

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-02.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-03.pdf

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.