Vulnerabilitats en productes Triconex de Schneider

29/07/2020
S'han publicat diverses vulnerabilitats que afecten versions molt antigues de productes Triconex.

Risc: Crítico Crítico
Sistemes afectats:

Les versions antigues següents de sistemes Triconex:

  • TriStation 1131, v1.0.0 a v4.9.0, v4.10.0, i 4.12.0, operant en Windows NT, Windows XP, o Windows 7;
  • Mòdul de Comunicacions Tricon (TCM), models 4351, 4352, 4351A/B i 4352A/B instal·lat en sistemes Tricon v10.0 a v10.5.3.
Descripció:

L'explotació reeixida d'aquestes vulnerabilitats pot permetre veure dades sensibles en text sense xifrar en la xarxa, causar una condició de denegació de servei i permetre un accés inapropiat sobre la família de dispositius afectats. A continuació es mostra el detall de les vulnerabilitats.

CVE-2020-7483 - Informació sensible transmesa en text clar: Una vulnerabilitat podria fer que certes dades siguen visibles en la xarxa quan la funció 'contrasenya' estiga habilitada.

CVE-2020-7484 - Consum de recursos incontrolats: Una vulnerabilitat amb l'antiga funció de 'contrasenya' podria permetre un atac de denegació de servei, si l'usuari no segueix les pautes documentades relacionades amb la connexió dedicada de TriStation i la protecció de l'interruptor de clau.

CVE-2020-7486 - Consum de recursos incontrolats: Una vulnerabilitat podria provocar que els mòduls TCM es restablisquen quan es trobe sota una càrrega de xarxa alta en TCM v10.4.x y en el sistema v10.3.x

CVE-2020-7491 – Control Indegut d'accés: Un compte en el port de depuració heretat en TCM instal·lats en les versions del sistema Tricon 10.2.0 a 10.5.3, és visible en la xarxa i podria permetre un accés inapropiat

Més informació en  l'enllaç següent                 

Solució:

Actualitzar a les versions recents:

TriStation v4.9.1, v4.10.1, v4.13.0 o v10.5.4.