SK-CERT Bezpečnostné varovanie V20241010-07

10. októbra 2024

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Schneider Electric produkty – kritická bezpečnostná zraniteľnosť

Popis

Spoločnosť Schneider Electric vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-8884 sa nachádza v produktoch System Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP series a System Monitor application in Pro-face Industrial PC PS5000 series, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód.
Zneužitie zraniteľností s identifikátormi CVE-2024-9005, CVE-2024-8518 a CVE-2024-8422 vyžaduje interakciu zo strany používateľa.

Dátum prvého zverejnenia varovania

8.10.2024

CVE

CVE-2024-8884, CVE-2024-8422, CVE-2024-8518, CVE-2024-9005, CVE-2024-8070, CVE-2024-9002, CVE-2024-8531, CVE-2024-8530

IOC

–

Zasiahnuté systémy

System Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP series vo všetkých verziách
System Monitor application in Pro-face Industrial PC PS5000 series vo všetkých verziách
EVlink Home Smart vo verzii staršej ako 2.0.6.0.0
Schneider Charge vo verzii staršej ako 1.13.4
EcoStruxure™ IT Data Center Expert vo verzii staršej ako 8.2
EcoStruxure™ Power Monitoring Expert (PME) 2022 bez aplikovanej bezpečnostnej záplaty vo všetkých verziách
EcoStruxure™ Power Monitoring Expert (PME) 2021 a staršie vo všetkých podporovaných verziách (ukončená podpora)
Easergy Studio vo verzii staršej ako 9.3.4
Zelio Soft 2 vo verzii staršej ako 5.4.2.2
EcoStruxure EV Charging Expert vo verzii staršej ako 6.0.0
Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1L0T, HMIBSCEA53D1L0A, HMIBSCEA53D1L01, HMIBSCEA53D1LSE, HMIBSCEA53D1LSU vo všetkých verziách (ukončená podpora)

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov výrobcu uvedených na odkazoch v sekcii ZDROJE.
Pri produktoch, ktoré už nie sú udržiavané, odporúčame prejsť na iný produkt s platnou podporou.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.

Zdroje

« Späť na zoznam

Dôležité odkazy