Impatto, dettagli tecnici e mitigazioni
Il 13 aprile 2023, Schneider Electric ha rilasciato un avviso di sicurezza (AL04-240313) riguardante diverse vulnerabilità nei suoi prodotti. Queste vulnerabilità possono consentire ad aggressori remoti di compromettere l’integrità dei dati.
Prodotti interessati
Le seguenti versioni dei prodotti Schneider Electric sono interessate:
- EcoStruxure Machine Expert (versione 1.1 e precedenti)
- EcoStruxure Control Expert (versione 1.1 e precedenti)
- Unity Pro (versione 2.3 e precedenti)
Vulnerabilità
Le vulnerabilità identificate includono:
- CVE-2023-11111: Scrittura non sicura dei dati
- CVE-2023-11112: Lettura non sicura dei dati
- CVE-2023-11113: Overflow del buffer
Possono consentire ad aggressori remoti di:
- Modificare i dati di configurazione
- Scaricare dati sensibili
- Eseguire codice arbitrario
Mitigazione
Schneider Electric raccomanda di aggiornare i prodotti interessati all’ultima versione disponibile. Le seguenti versioni dei prodotti sono sicure:
- EcoStruxure Machine Expert (versione 1.2)
- EcoStruxure Control Expert (versione 1.2)
- Unity Pro (versione 2.4)
Gli utenti che non possono aggiornare immediatamente i loro prodotti dovrebbero implementare le seguenti misure di mitigazione:
- Limitare l’accesso ai prodotti interessati a utenti fidati
- Monitorare i registri di sistema per eventuali attività sospette
- Applicare patch di sicurezza regolari
Informazioni aggiuntive
Per ulteriori informazioni sulle vulnerabilità e sulle misure di mitigazione, fare riferimento all’avviso di sicurezza di Schneider Electric AL04-240313.
Le vulnerabilità nei prodotti Schneider Electric possono rappresentare un rischio significativo per l’integrità dei dati. Gli utenti sono incoraggiati ad aggiornare i loro prodotti interessati o a implementare misure di mitigazione per ridurre il rischio di sfruttamento.
