Múltiples vulnerabilidades en PowerLogic Power Metering de Schneider Electric

Recursos afectados:

ION7400, todas las versiones anteriores a V3.0.0;
ION7650, todas las versiones;
ION7700/73xx, todas las versiones (solo afectado por CVE-2021-22702);
ION83xx/84xx/85xx/8600, todas las versiones;
ION8650, todas las versiones anteriores a V 4.31.2;
ION8800, todas las versiones;
ION9000, todas las versiones anteriores a V3.0.0;
PM8000, todas las versiones anteriores a V3.0.0.

Descripción:

Schneider Electric ha informado de tres vulnerabilidades en sus productos de medición eléctrica PowerLogic que podrían permitir la revelación de credenciales de usuario al trasmitirse en claro, o acciones no deseadas en un dispositivo cuando se utiliza HTTP, lo que podría provocar un comportamiento no deseado del dispositivo.

Solución:

ION7400, actualizar a la versión V3.0.0;
ION8650, actualizar a la versión V 4.31.2;
ION9000, actualizar a la versión V3.0.0;
PM8000, actualizar a la versión V3.0.0;

Para los siguientes productos no existe un parche que solucione estas vulnerabilidades. Schneider Electric recomienda deshabilitar los servicios de Telnet y de HTTP.

ION7650,
ION8800.

En el caso de los siguientes productos, para los que tampoco existe parche, Schneider Electric recomienda además de deshabilitar los servicios Telnet y HTTP, su actualización a productos más modernos al carecer de soporte.

ION7700/73xx,
ION83xx/84xx/85xx/8600.

Detalle:

Las vulnerabilidades descubiertas en productos PowerLogic se refieren a una vulnerabilidad de tipo Cross-Site Request Forgery que permite que un usuario realice una acción no deseada en el dispositivo a través de HTTP y dos vulnerabilidades de transmisión de información sensible en texto claro, que podrían causar la divulgación de credenciales de usuario a través de Telnet o a través de HTTP.

Se han asignado los identificadores CVE-2021-22701, CVE-2021-22702 y CVE-2021-22703 a estas vulnerabilidades.

Reportar incidentes