PT-2021-15186 · Schneider Electric · Clearscada+2
Publicado
2021-05-26
·
Atualizado
2021-06-07
·
CVE-2021-22741
CVSS v3.1
6.7
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ClearSCADA (todas as versões)
EcoStruxure Geo SCADA Expert 2019 (todas as versões)
EcoStruxure Geo SCADA Expert 2020, versões V83.7742.1 e anteriores
Descrição
A vulnerabilidade existe devido ao uso de hash de senha com esforço computacional insuficiente, o que pode levar à revelação de credenciais de conta quando os arquivos do banco de dados do servidor estão disponíveis. A exposição desses arquivos a um invasor pode tornar o sistema vulnerável a ataques de descriptografia de senha. Observa-se que os arquivos de exportação de configuração
.sde não contêm hashes de senha de contas de usuário.Recomendações
Para o ClearSCADA, considere implementar medidas de segurança adicionais para proteger os arquivos do banco de dados do servidor.
Para o EcoStruxure Geo SCADA Expert 2019, restrinja o acesso aos arquivos do banco de dados do servidor para minimizar o risco de exploração.
Para as versões V83.7742.1 e anteriores do EcoStruxure Geo SCADA Expert 2020, atualize para uma versão posterior à V83.7742.1 para mitigar o risco.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clearscada
Ecostruxure Geo Scada Expert 2019
Ecostruxure Geo Scada Expert 2020