Sintesi

Sanate nuove vulnerabilità presenti in alcuni prodotti – integrabili anche in soluzioni SCADA – di Schneider Electric, di cui una con gravità “critica” e 5 con gravità “alta”.

Tipologia

• Arbitrary Code Execution
• Denial of Service
• Security Restrictions Bypass

Prodotti e/o versioni affette

Schneider Electric

• PowerLogic PM5300 series
• Modicon PAC
• EcoStruxure IT Gateway

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-9409

CVE-2024-8933

CVE-2024-8935

CVE-2024-8937

CVE-2024-8938

CVE-2024-10575

Riferimenti

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

https://download.schneider-electric.com/doc/SEVD-2024-317-01/SEVD-2024-317-01.pdf

https://download.schneider-electric.com/doc/SEVD-2024-317-02/SEVD-2024-317-02.pdf

https://download.schneider-electric.com/doc/SEVD-2024-317-03/SEVD-2024-317-03.pdf

https://download.schneider-electric.com/doc/SEVD-2024-317-04/SEVD-2024-317-04.pdf

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.