Experto en centros de datos de Schneider Electric

octubre 16, 2024

1. RESUMEN EJECUTIVO

CVSS v4 8.6
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: Schneider Electric
Equipo: Experto en centros de datos
Vulnerabilidad: Verificación incorrecta de la firma criptográfica, falta de autenticación para funciones críticas

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante acceder a datos privados.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Schneider Electric informa que las siguientes versiones de Data Center Expert, un software de monitoreo, se ven afectadas:

Experto en centros de datos: versiones 8.1.1.3 y anteriores

3.2 Descripción general de la vulnerabilidad

3.2.1 Verificación inadecuada de la firma criptográfica CWE-347

Existe una verificación inadecuada de la vulnerabilidad de la firma criptográfica que podría comprometer el software Data Center Expert cuando se manipula un paquete de actualización para incluir scripts bash arbitrarios que se ejecutan como root.

CVE-2024-8531 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,2; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-8531. Se ha calculado una puntuación base de 8,6; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.2 Autenticación faltante para función crítica CWE-306

Existe una autenticación faltante para una vulnerabilidad de función crítica en el software Data Center Expert que podría causar la exposición de datos privados cuando se accede directamente a través de HTTPS a un archivo de «capturas de registros» ya generado.

CVE-2024-8530 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5,9; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).

Saber más Actualizaciones para REXML (AL02/240718/CSIRT-ITA)

También se ha calculado una puntuación CVSS v4 paraCVE-2024-8530. Se ha calculado una puntuación base de 8,2; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

SECTORES DE INFRAESTRUCTURA CRÍTICA: Instalaciones comerciales, energía, alimentación y agricultura, instalaciones gubernamentales, sistemas de transporte, sistemas de agua y aguas residuales
PAÍSES/ÁREAS DESPLEGADAS: Mundial
UBICACIÓN DE LA SEDE DE LA EMPRESA: Francia

3.4 INVESTIGADOR

Anonymous, que trabaja con Trend Micro Zero Day Initiative, informó estas vulnerabilidades a Schneider Electric.

4. MITIGACIONES

La versión 8.2 de EcoStruxure IT Data Center Expert incluye correcciones para estas vulnerabilidades y está disponible previa solicitud en Centro de atención al cliente de Schneider Electric.

Los usuarios deben utilizar metodologías de parcheo adecuadas al aplicar estos parches a sus sistemas. Schneider Electric recomienda encarecidamente el uso de copias de seguridad y la evaluación del impacto de estos parches en un entorno de prueba y desarrollo o en una infraestructura fuera de línea. Contacto
Centro de atención al cliente de Schneider Electric si necesita ayuda para quitar un parche.

Si los usuarios deciden no aplicar la solución proporcionada anteriormente, deben aplicar inmediatamente las siguientes mitigaciones para reducir el riesgo de explotación:

Asegúrese de que se sigan los principios de privilegio mínimo para que solo aquellos que lo necesiten tengan acceso a la cuenta y que el nivel de autorización de su cuenta respectiva se alinee con su función, incluidas las cuentas privilegiadas como se describe en la Manual de seguridad para expertos en centros de datos.
Verifique las sumas de verificación SHA1 de los paquetes de actualización antes de ejecutar las actualizaciones como se describe en la sección Actualizaciones de la Manual de seguridad para expertos en centros de datos.
Elimine cualquier archivo de «logcapture» existente presente en el sistema y no cree ningún archivo de «logcapture» nuevo. Los archivos existentes se pueden eliminar del https://ip_servidor/capturelogs página web después de la autenticación.

Saber más Revisión semanal del Centro Nacional de Seguridad Cibernética de Finlandia – 13/2024

Schneider Electric recomienda encarecidamente las siguientes mejores prácticas de ciberseguridad del sector:

Ubique redes de sistemas de control y seguridad y dispositivos remotos detrás de firewalls y aíslelos de la red empresarial.
Instale controles físicos para que ningún personal no autorizado pueda acceder a sus sistemas, componentes, equipos periféricos y redes de seguridad y control industrial.
Coloque todos los controladores en gabinetes cerrados con llave y nunca los deje en el modo «Programa».
Nunca conecte software de programación a ninguna red que no sea la red destinada a ese dispositivo.
Escanee todos los métodos de intercambio de datos móviles con la red aislada, como CD, unidades USB, etc., antes de usarlos en los terminales o cualquier nodo conectado a estas redes.
Nunca permita que dispositivos móviles que se hayan conectado a cualquier otra red además de la red prevista se conecten a las redes de seguridad o control sin una higiene adecuada.
Minimice la exposición de la red para todos los dispositivos y sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet.
Cuando sea necesario acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN). Reconozca que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Además, comprenda que las VPN son tan seguras como los dispositivos conectados.

Para más información consulte el Documento de mejores prácticas de ciberseguridad recomendadas por Schneider Electric.

Para obtener más información, consulte la notificación de seguridad de Schneider Electric SEVD-2024-282-01 asociada en PDF y CSAF

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

Saber más Alerta de seguridad (A24-07-03): Múltiples vulnerabilidades en Android

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.

5. ACTUALIZAR HISTORIAL

15 de octubre de 2024: Publicación inicial

Source link