12 marca 2024 r. firma Schneider Electric opublikowała porady dotyczące bezpieczeństwa, w których zwraca uwagę na luki w zabezpieczeniach następujących produktów:
- EcoStruxure IT Gateway (1.20.x i wcześniejsze)
- EcoStruxure Power Design
- Easergy T200 Models
- Modicon M340 CPU
- Modicon M580 CPU
- Harmony Control Relay
- Harmony Timer Relay
Numer CVE | CVSS | Opis | Produkt/Wersja | Link |
CVE-2024-2050 CVE-2024-2051 CVE-2024-2052 | 8.2 9.8 7.5 | CWE-79: Niewłaściwa neutralizacja danych wejściowych podczas generowania strony internetowej („skrypty między witrynami”) CWE-307: Niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia CWE-552:Pliki lub katalogi dostępne dla stron zewnętrznych | • Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (Modbus) (wersja SC2-04MOD-07000104 i wcześniejsze) • Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (IEC104) (wersja SC2-04IEC-07000104 i wcześniejsze) • Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (DNP3) (wersja SC2-04DNP-07000104 i wcześniejsze) | SEVD-2024-072-01 (PDF) |
CVE-2024-2229 | 7.8 | CWE-502: Deserializacja niezaufanych danych | • EcoStruxure Power Design – Ecodial (Ecodial NL All Versions, Ecodial INT All Versions, Ecodial FR All Versions) | SEVD-2024-072-02 (PDF) |
Firma Schneider Electric jest świadoma wielu luk w zabezpieczeniach serwera komunikacyjnego systemu wykonawczego CODESYS V3. | • Kontroler HMISCU • Kontroler Modicon LMC058 • Kontroler Modicon LMC078 • Kontroler Modicon M218 • Kontroler Modicon M241 • Kontroler Modicon M251 • Kontroler Modicon M258 • Kontroler Modicon M262 • Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 • SoftSPS wbudowany w EcoStruxure Machine Expert • Vijeo Designer wbudowany w EcoStruxure Machine Expert • Harmony (dawniej Magelis) Seria HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU, seria iPC ze środowiskiem wykonawczym Vijeo Designer • Easy Harmony HMIET6/HMIFT6 • Seria Magelis HMIGXU, XBT | SEVD-2023-192-04 (V4.0) PDF | ||
CVE-2023-25619 CVE-2023-25620 | 7.5 6.5 | CWE-754: Niewłaściwa kontrola pod kątem nietypowych lub wyjątkowych warunków | • Procesor Modicon M340 (numer części BMXP34*) (wersje wcześniejsze niż SV3.51) • Procesor Modicon M580 (numery części BMEP* i BMEH*) (wersje wcześniejsze niż V4.10) • Bezpieczeństwo procesora Modicon M580 (numery części BMEP58*S i BMEH58*S) (wszystkie wersje) • Procesor Modicon Momentum Unity M1E (171CBU*) (wszystkie wersje) • Starszy Modicon Quantum (140CPU65*) (wszystkie wersje) • Starsze procesory Modicon Premium (TSXP57*) (wszystkie wersje) | SEVD-2023-101-05 (V2.0) PDF |
CVE-2020-28895 CVE-2020-35198 CVE-2021-22156 | 7,5 9,8 9.8 | Firma Schneider Electric jest świadoma istnienia wielu luk w zabezpieczeniach związanych z alokacją pamięci, zwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Pomyślne wykorzystanie tych luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu. | SEVD-2021-313-05 (V21.0) PDF | |
CVE-2020-25176 CVE-2020-25178 CVE-2020-25182 CVE-2020-25184 CVE-2020-25180 | 9,8 8,8 6,7 7,8 5.3 | Schneider Electric jest świadomy wielu luk w zabezpieczeniach produktów ISaGRAF Workbench i ISaGRAF Runtime. | • Easergy T300 • Easergy C5 • MiCOM C264 • PACiS GTW • EPAS GTW • SCADAPack 300E RTU • SCADAPack 53xE RTU • Stół warsztatowy SCADAPack • Oprogramowanie sprzętowe SCD2200 dla CP-3/MC-31 • SAGE RTU (procesor C3414, procesor C3413, procesor C3412) • Talus T4e Mk 1 (oprogramowanie sprzętowe A18.xx (wszystkie)) T4e Mk II i T4c (oprogramowanie sprzętowe A19.08 i starsze) • Procesor Modicon M580 (przed V3.20 – numery katalogowe BMEP* i BMEH*) • Bezpieczeństwo procesora Modicon M580 (numery katalogowe BMEP58*S i BMEH58*S, wszystkie wersje) • Procesor Modicon M340 (wersje wcześniejsze niż V3.50 – numery katalogowe BMXP34*) | SEVD-2021-194-01 (V7.0) PDF |
CVE-2023-6408 CVE-2023-6409 CVE-2023-27975 | 8,1 7,7 7,1 | CWE-924: Niewłaściwe egzekwowanie integralności wiadomości podczas transmisji w kanale komunikacyjnym | • Procesor Modicon M340 (numer części BMXP34*) • Procesor Modicon M580 (numery części BMEP* i BMEH*, z wyłączeniem bezpieczeństwa procesora M580) • Bezpieczeństwo procesora Modicon M580 (numery części BMEP58*S i BMEH58*S) • Ekspert w zakresie sterowania EcoStruxure • Ekspert ds. procesów EcoStruxure | SEVD-2024-044-01 (PDF) |
CVE-2024-0568 | 8,8 | CWE-798: Stosowanie zakodowanych na stałe danych uwierzytelniających | • Harmony Control Relay RMNF22TB30 (Wszystkie wersje) • Harmony Timer Relay RENF22R2MMW (Wszystkie wersje) | SEVD-2024-044-02 (PDF) |
CVE-2024-0865 | 7,8 | CWE-522: Niewystarczająco chronione dane uwierzytelniające | • EcoStruxure IT Gateway (1.20.x i starsze) | SEVD-2024-044-03 (PDF) |
CVE-2018-7842 CVE-2018-7843 CVE-2018-7844 CVE-2018-7845 CVE-2018-7846 CVE-2018-7847 CVE-2018-7848 CVE-2018-7849 CVE-2018-7850 CVE-2018-7852 CVE-2018-7853 CVE-2018-7854 CVE-2018-7855 CVE-2018-7856 CVE-2018-7857 CVE-2019-6806 CVE-2019-6807 CVE-2019-6808 CVE-2019-6809 CVE-2019-6828 CVE-2019-6829 CVE-2019-6830 | 5,3-10 | CWE-287: Niewłaściwe uwierzytelnienie | • Modicon M340 • Modicon M580 • Modicon MC80 • Procesor Modicon Momentum Unity M1E (numer katalogowy 171CBU*) • Modicon Premium • Modicon Quantum • PLC Simulator dla EcoStruxure Control Expert | SEVD-2019-134-11 (V10.0) PDF |