Sintesi

Sanate nuove vulnerabilità presenti in alcuni prodotti – anche SCADA – di Schneider Electric, di cui una con gravità “critica” e 4 con gravità “alta”.

Tipologia

• Denial of Service
• Information Disclosure
• Privilege Escalation
• Remote Code Execution

Prodotti e/o versioni affette

• Wiser Home Controller WHC-5918A
• EcoStruxure Foxboro DCS
• EcoStruxure Foxboro SCADA FoxRTU Station

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-6407

CVE-2024-5679

CVE-2024-5680

CVE-2024-5681

CVE-2024-2602

Riferimenti

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-01.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-02.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-03.pdf

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.