8 października 2024 r. Schneider Electric opublikował ostrzeżenia dotyczące luk w zabezpieczeniach następujących produktów:

  • Data Center Expert – wersje 8.1.1.3 i wcześniejsze
  • Easergy Studio – wersja 9.3.1 i wcześniejsze
  • EcoStruxure EV Charging Expert – wersje wcześniejsze niż V6.0.0
  • EcoStruxure™ Power Monitoring Expert (PME) – wersje 2022 i wcześniejsze
  • EVlink Home Smart – wersje wcześniejsze niż 2.0.6.0.0
  • Harmony iPC – HMIBSC IIoT Edge Box Core – wszystkie wersje, wiele produktów
  • Schneider Charge – wersje wcześniejsze niż 1.13.4
  • Aplikacja System Monitor w komputerze przemysłowym Harmony – wszystkie wersje, wiele serii
  • Aplikacja System Monitor w komputerze przemysłowym Pro-face serii PS5000 – wszystkie wersje
  • Zelio Soft 2 – wersje wcześniejsze niż 5.4.2.2
Numer CVEOpisProdukt/WersjaLINK
CVE-2024-8531
CVE-2024-8530
• CWE-347: Nieprawidłowa weryfikacja podpisu kryptograficznego • CWE-306: Brak uwierzytelnienia dla funkcji krytycznejEkspert ds. centrów danych (wersje 8.1.1.3 i starsze)SEVD-2024-282-01 PDF
W ofercie HMIBSC używany jest system operacyjny Yocto OS innej firmy (v2.1 Krogoth). Wiadomo, że zawiera on wiele luk wysokiego i krytycznego ryzyka. Schneider Electric nie może aktualizować systemu operacyjnego na HMIBSC ze względu na ograniczenia sprzętowe i nie może zapewnić dalszych aktualizacji zabezpieczeń naszym klientom.• Harmony iPC – HMIBSC IIoT Edge Box Core • HMIBSCEA53D1L0T • HMIBSCEA53D1L0A • HMIBSCEA53D1L01 • HMIBSCEA53D1LSE • HMIBSCEA53D1LSUSEVD-2024-282-02 PDF
CVE-2024-9002CWE-269: Niewłaściwe zarządzanie uprawnieniamiEasergy Studio (wersje 9.3.1 i starsze)SEVD-2024-282-03 PDF
CVE-2024-8070CWE-312: Przechowywanie poufnych informacji w postaci jawnego tekstu• EVlink Home Smart (wszystkie wersje przed 2.0.6.0.0) • Schneider Charge (wszystkie wersje przed 1.13.4)SEVD-2024-282-04 PDF
CVE-2024-9005CWE-502: Deserializacja niezaufanych danychEcoStruxure™ Power Monitoring Expert (PME) (wersja 2022 i wcześniejsze)SEVD-2024-282-05 PDF
CVE-2024-8422
CVE-2024-8518
• CWE-416: Użyj po zwolnieniu • CWE-20: Nieprawidłowa walidacja danych wejściowychZelio Soft 2 (wersje wcześniejsze niż 5.4.2.2)SEVD-2024-282-06 PDF
CVE-2024-8884CWE-200: Narażenie informacji• Aplikacja System Monitor w komputerach Harmony Industrial PC serii HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP (wszystkie wersje) • Aplikacja System Monitor w komputerach Pro-face Industrial PC serii PS5000 (wszystkie wersje)SEVD-2024-282-07 PDF
W produkcie EcoStruxure EV Charging Expert używany jest system operacyjny Yocto Krogoth 2.1 innej firmy. Wiadomo, że zawiera on wiele luk o wysokim i krytycznym stopniu zagrożenia.EcoStruxure EV Charging Expert (wszystkie wersje wcześniejsze niż V6.0.0)SEVD-2024-282-08 PDF
CVE-2022-0222CWE-269: Niewłaściwe zarządzanie uprawnieniami• Procesory Modicon M340 (wersje BMXP34* wcześniejsze niż V3.40) • Moduły komunikacyjne Ethernet Modicon M340 X80 BMXNOR0200H RTU (wcześniejsze niż V1.7 IR24)SEVD-2022-102-02 (V3.1.0) PDF