Noticias

Importancia 4 - Alta

Recursos Afectados

• ASCO 5310 Single-Channel Remote Annunciator, todas las versiones;
• ASCO 5350 Eight Channel Remote Annunciator, todas las versiones;
• EcoStruxure™ Process Expert, versiones 2020R2, 2021 y 2023 (anterior a v4.8.0.5715);
• EcoStruxure™ Process Expert for AVEVA System Platform, versiones 2020R2, 2021 y 2023;
• Enerlin’X IFE interface (LV434001), todas las versiones;
• Enerlin’X eIFE (LV851001), todas las versiones.

Descripción

Los productos de Schneider Electric están afectados por 8 vulnerabilidades, 7 de ellas de severidad alta y una media. Su explotación podría permitir una denegación de servicio en el producto afectado o de los servicios de red que se ejecutan en este, detener la comunicación y revelar de datos, entre otros.

Solución

Para las vulnerabilidades que afectan al producto EcoStruxure™ Process Expert, versiones 2020R2, 2021 y 2023 (anterior a v4.8.0.5715), Schneider Electric recomienza actualizar a la versión v4.8.0.5715, después de haber desinstalado la versión v4.8.0.5115.

Para las vulnerabilidades que afectan a los productos Enerlin’X, Schneider Electric ha resuelto este problema en la versión 004.010.000.

En cuanto a las vulnerabilidades que afectan a ASCO, Schneider Electric está estableciendo un plan de corrección para todas las versiones futuras que podrá incluir una solución para estas vulnerabilidades. Hasta entonces, Schneider Electric recomienda a los usuarios que apliquen inmediatamente las medidas de mitigación para reducir el riesgo de explotación incluidas en las referencias del aviso.

Detalle

Las vulnerabilidades de severidad alta son:

• Descarga de código sin verificación de integridad que podría dejar el dispositivo quede inoperable si se descarga un firmware malicioso (CVE-2025-1058).
• Asignación de recursos sin límites que podría detener las comunicaciones cuando se envían paquetes maliciosos al servidor web del dispositivo (CVE-2025-1059).
• Transmisión de información sensible en texto claro que podría exponer datos cuando el tráfico de la red está siendo interceptado por un atacante (CVE-2025-1060).
• Carga sin restricciones de archivos de tipo peligroso que podría dejar el dispositivo inoperable cuando se descarga un archivo malicioso (CVE-2025-1070).
• Gestión inadecuada de privilegios en dos servicios (uno que gestiona datos de registro de auditoría y otro que actúa como servidor que gestiona las solicitudes de los clientes) que podría causar una pérdida de confidencialidad, integridad y disponibilidad de la estación de trabajo de ingeniería cuando un atacante con privilegios estándar modifica la ruta de ejecución de los servicios de Windows. Para ser explotada, los servicios necesitan ser reiniciados (CVE-2025-0327).
• Validación de entrada inadecuada que podría provocar una denegación de servicio del producto cuando se envían paquetes PIV6 maliciosos al dispositivo (CVE-2025-0816 y CVE-2025-0815).

La vulnerabilidad de severidad media tiene el identificador CVE-2025-0814.

Referencias:

• https://download.schneider-electric.com/files?p_Doc_Ref=sevd-2025-042-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-042-01.pdf
• https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-042-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-042-03.pdf
• https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-042-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-042-04.pdf
• Múltiples vulnerabilidades en productos Schneider Electric | INCIBE-CERT | INCIBE

Recursos Afectados

• Active Directory Domain Services
• Azure Network Watcher
• Microsoft AutoUpdate (MAU)
• Microsoft Digest Authentication
• Microsoft Dynamics 365 Sales
• Microsoft Edge (Chromium-based)
• Microsoft Edge for iOS and Android
• Microsoft High Performance Compute Pack (HPC) Linux Node Agent
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft PC Manager
• Microsoft Streaming Service
• Microsoft Surface
• Microsoft Windows
• Outlook for Android
• Visual Studio
• Visual Studio Code
• Windows Ancillary Function Driver for WinSock
• Windows CoreMessaging
• Windows DHCP Client
• Windows DHCP Server
• Windows DWM Core Library
• Windows Disk Cleanup Tool
• Windows Installer
• Windows Internet Connection Sharing (ICS)
• Windows Kerberos
• Windows Kernel
• Windows LDAP - Lightweight Directory Access Protocol
• Windows Message Queuing
• Windows NTLM
• Windows Remote Desktop Services
• Windows Resilient File System (ReFS) Deduplication Service
• Windows Routing and Remote Access Service (RRAS)
• Windows Setup Files Cleanup
• Windows Storage
• Windows Telephony Server
• Windows Telephony Service
• Windows Update Stack
• Windows Win32 Kernel Subsystem

Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 11 de febrero, consta de 63 vulnerabilidades (con CVE asignado), calificadas 1 como crítica, 45 como altas, 16 como medias y 1 como baja.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad crítica publicada tiene asignado el siguiente identificador y descripción:

• CVE-2025-21198: ejecución remota de código en Microsoft High Performance Compute (HPC) Pack.

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Listado de referencias

• https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb
• https://msrc.microsoft.com/update-guide 
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ 

Importancia: 4 - Alta

Recursos Afectados

• Schneider Electric Power Logic:  versión v0.62.7 (CVE-2024-10497);
• Schneider Electric Power Logic: versiones v0.62.7 y anteriores (CVE-2024-10498);
• RemoteConnect: todas las versiones (CVE-2024-12703);
• SCADAPackTM x70 Utilities: todas las versiones (CVE-2024-12703).

Descripción

Se han reportado 3 vulnerabilidades, de severidad alta, cuya explotación podría permitir a un atacante modificar datos, causar una condición de denegación de servicio (DoS) o una ejecución remota de código.

Solución

Para las vulnerabilidades que afectan al producto Power Logic, Schneider Electric recomienza actualizar a las versiones v0.62.11 o posteriores.

En cuanto a la vulnerabilidad que afecta a RemoteConnect y SCADAPackTM x70 Utilities, Schneider Electric está estableciendo un plan de corrección para todas las versiones futuras que incluirá una solución para esta vulnerabilidad. Hasta entonces, Schneider Electric recomienda a los usuarios que apliquen inmediatamente las medidas de mitigación para reducir el riesgo de explotación incluidas en el aviso de las referencias.

Detalle

• Vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario que podría permitir, a un atacante autorizado, modificar valores fuera de los definidos por sus privilegios cuando el atacante envía peticiones HTTPS modificadas al dispositivo. Se ha asignado el identificador CVE-2024-10497 para esta vulnerabilidad.
• Vulnerabilidad de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria. Esta podría permitir, a un atacante, no autorizado, modificar valores de configuración fuera del rango normal cuando el atacante envía paquetes de escritura Modbus específicos al dispositivo, lo que podría dar lugar a datos no válidos o a la pérdida de funcionalidad de la interfaz web. Se ha asignado el identificador CVE-2024-10498 para esta vulnerabilidad.
• Vulnerabilidad de deserialización de datos no confiables que podría conducir a la pérdida de confidencialidad, integridad y potencial ejecución remota de código en la estación de trabajo cuando un usuario autenticado no administrador abre un archivo de proyecto malicioso. Se ha asignado el identificador CVE-2024-12703 para esta vulnerabilidad.

Listado de referencias

https://www.cisa.gov/news-events/ics-advisories/icsa-25-028-02

https://www.cisa.gov/news-events/ics-advisories/icsa-25-028-06

https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-schneider-10?sstc=u82518nl545296

Importancia

5 - Crítica

Recursos Afectados

• myPRO Manager: versiones anteriores a 1.3;
• myPRO Runtime: versiones anteriores a  9.2.1.

Descripción

Mehmet INCE (@mdisec) de PRODAFT.com, en colaboración con Trend Micro Zero Day Initiative (ZDI), ha reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información sensible.

Solución

MySCADA recomienda actualizar a las últimas versiones:

• mySCADA PRO Manager: versión 1.3
• mySCADA PRO Runtime: versión 9.2.1.

Detalle

• MySCADA myPRO no neutraliza correctamente las solicitudes POST enviadas a un puerto específico con información de correo electrónico. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20061 para esta vulnerabilidad.
• MySCADA myPRO no neutraliza correctamente las peticiones POST enviadas a un puerto específico con información sobre la versión. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20014 para esta vulnerabilidad.

Listado de referencias

• https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-de-myscada-0?sstc=u82518nl544634