Skip to main content

Schneider Electric Modicon M340, MC80 y Momentum Unity M1E

noviembre 22, 2024


Ver CSAF

1. RESUMEN EJECUTIVO

  • CVSS v4 7.7
  • ATENCIÓN: Explotable remotamente
  • Proveedor: Schneider Electric
  • Equipo: Modicon M340, MC80 y Momentum Unity M1E
  • Vulnerabilidades: Aplicación inadecuada de la integridad del mensaje durante la transmisión en un canal de comunicación, omisión de autenticación mediante suplantación de identidad

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante recuperar hashes de contraseñas o provocar una condición de denegación de servicio.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Las siguientes versiones de Schneider Electric Modicon M340, MC80 y Momentum Unity M1E se ven afectadas:

  • CPU Modicon M340 (números de pieza BMXP34*): todas las versiones (CVE-2024-8933)
  • CPU Modicon M340 (números de pieza BMXP34*): versiones posteriores a SV3.60 (CVE-2024-8935)
  • Modicon MC80 (números de pieza BMKC80): todas las versiones (CVE-2024-8933)
  • Procesador Modicon Momentum Unity M1E (171CBU*): todas las versiones (CVE-2024-8933)

3.2 Descripción general de la vulnerabilidad

3.2.1 Aplicación inadecuada de la integridad del mensaje durante la transmisión en un canal de comunicación CWE-924

Existe una vulnerabilidad que podría provocar la recuperación del hash de la contraseña, lo que podría provocar una denegación de servicio y una pérdida de confidencialidad e integridad de los controladores. Para tener éxito, el atacante debe insertarse dentro de la red lógica mientras un usuario válido carga o descarga un archivo de proyecto en el controlador.

CVE-2024-8933 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,5; la cadena del vector CVSS es (AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-8933. Se ha calculado una puntuación base de 7,5; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.2.2 Omisión de autenticación mediante suplantación de identidad CWE-290

Existe una vulnerabilidad que podría causar una denegación de servicio y pérdida de confidencialidad e integridad de los controladores al realizar un ataque Man-In-The-Middle entre el controlador y la estación de trabajo de ingeniería mientras un usuario válido establece una sesión de comunicación. Esta vulnerabilidad es inherente al algoritmo Diffie Hellman, que no protege contra ataques Man-In-The-Middle.

CVE-2024-8935 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7,5; la cadena del vector CVSS es (AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).

También se ha calculado una puntuación CVSS v4 paraCVE-2024-8935. Se ha calculado una puntuación base de 7,7; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

  • SECTORES DE INFRAESTRUCTURA CRÍTICA: Instalaciones Comerciales, Manufactura Crítica, Energía
  • PAÍSES/ÁREAS DESPLEGADAS: Mundial
  • UBICACIÓN DE LA SEDE DE LA EMPRESA: Francia

3.4 INVESTIGADOR

Schneider Electric informó estas vulnerabilidades a CISA.

4. MITIGACIONES

Schneider Electric está estableciendo un plan de corrección para todas las versiones futuras de Modicon M340 que incluirá una solución para la vulnerabilidad CVE-2024-8933 y una mitigación para CVE-2024-8935.

Además, Schneider Electric actualizará este documento cuando la solución esté disponible. Hasta entonces, los usuarios deben aplicar inmediatamente las siguientes mitigaciones para reducir el riesgo de explotación:

Schneider Electric también está estableciendo un plan de reparación para todas las versiones futuras de Modicon MC80 que incluirá una solución para CVE-2024-8933. Schneider Electric actualizará este documento cuando la solución esté disponible. Hasta entonces, los usuarios deben aplicar inmediatamente las siguientes mitigaciones para reducir el riesgo de explotación:

Schneider Electric también está estableciendo un plan de corrección para todas las versiones futuras de Modicon Momentum que incluirá una solución para CVE-2024-8933. Schneider Electric actualizará este documento cuando la solución esté disponible. Hasta entonces, los usuarios deben aplicar inmediatamente las siguientes mitigaciones para reducir el riesgo de explotación:

Para asegurarse de estar informado de todas las actualizaciones, incluidos los detalles sobre los productos afectados y los planes de solución, suscríbase al servicio de notificaciones de seguridad de Schneider Electric. aquí.

Recomendaciones generales de seguridad
Schneider Electric recomienda encarecidamente las siguientes mejores prácticas de ciberseguridad del sector.

  • Ubique redes de sistemas de control y seguridad y dispositivos remotos detrás de firewalls y aíslelos de la red empresarial.
  • Instale controles físicos para que ningún personal no autorizado pueda acceder a sus sistemas, componentes, equipos periféricos y redes de seguridad y control industrial.
  • Coloque todos los controladores en gabinetes cerrados con llave y nunca los deje en el modo «Programa».
  • Nunca conecte software de programación a ninguna red que no sea la red destinada a ese dispositivo.
  • Escanee todos los métodos de intercambio de datos móviles con la red aislada, como CD, unidades USB, etc., antes de usarlos en los terminales o cualquier nodo conectado a estas redes.
  • Nunca permita que dispositivos móviles que se hayan conectado a cualquier otra red además de la red prevista se conecten a las redes de seguridad o control sin una higiene adecuada.
  • Minimice la exposición de la red para todos los dispositivos y sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN). Reconozca que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Además, comprenda que las VPN son tan seguras como los dispositivos conectados.

Para obtener más información, consulte Schneider Electric. Mejores prácticas recomendadas en ciberseguridad documento.

Para obtener más información, consulte la Notificación de seguridad de Schneider Electric SEVD-2024-317-02 asociada en PDF y CSAF.

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:

  • Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
  • Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web del ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades. Estas vulnerabilidades tienen una alta complejidad de ataque.

5. ACTUALIZAR HISTORIAL

  • 21 de noviembre de 2024: Publicación inicial



Source link

Translate »