[SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Élévation de privilèges

Systèmes affectés

Easergy Studio versions antérieures à v9.3.5
contrôleurs PacDrive sans le dernier correctif de sécurité
contrôleurs Modicon M241, M251 et M262, HMISCU et EcoStruxure Machine Expert sans les derniers correctifs de sécurité et mesures de contournement
Magelis XBT
EcoStruxure Control Expert versions antérieures à v16.0
Modicon M580 versions antérieures à sv4.20
PowerLogic T300, MiCOM C264 D7.21 (et ultérieures) ou Easergy C5 1.1.6 (et ultérieures), PACiS GTW et EPAS GTW sans les dernières mesures de contournement
Harmony/Magelis HMISCU versions antérieures à 6.3.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2024-009-02 du 09 janvier 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-009-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-009-02.pdf
Bulletin de sécurité Schneider Electric SEVD-2023-192-04 du 11 juillet 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-04.pdf
Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf
Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
Bulletin de sécurité Schneider Electric SEVD-2023-010-06 du 10 janvier 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-06_Modicon_Controllers_Security_Notification.pdf
Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 10 janvier 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf
Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 08 juin 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf
Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf
Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-225-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=sevd-2019-225-01.json
Référence CVE CVE-2023-7032
https://www.cve.org/CVERecord?id=CVE-2023-7032
Référence CVE CVE-2023-27976
https://www.cve.org/CVERecord?id=CVE-2023-27976
Référence CVE CVE-2023-1548
https://www.cve.org/CVERecord?id=CVE-2023-1548
Référence CVE CVE-2022-4224
https://www.cve.org/CVERecord?id=CVE-2022-4224
Référence CVE CVE-2022-4046
https://www.cve.org/CVERecord?id=CVE-2022-4046
Référence CVE CVE-2023-28355
https://www.cve.org/CVERecord?id=CVE-2023-28355
Référence CVE CVE-2020-25176
https://www.cve.org/CVERecord?id=CVE-2020-25176
Référence CVE CVE-2020-25178
https://www.cve.org/CVERecord?id=CVE-2020-25178
Référence CVE CVE-2020-25182
https://www.cve.org/CVERecord?id=CVE-2020-25182
Référence CVE CVE-2020-25184
https://www.cve.org/CVERecord?id=CVE-2020-25184
Référence CVE CVE-2020-25180
https://www.cve.org/CVERecord?id=CVE-2020-25180
Référence CVE CVE-2019-6833
https://www.cve.org/CVERecord?id=CVE-2019-6833

Référence	CERTFR-2024-AVI-0013
Titre	[SCADA] Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	09 janvier 2024
Date de la dernière version	09 janvier 2024
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2024-009-02 du 09 janvier 2024 Bulletin de sécurité Schneider Electric SEVD-2023-192-04 du 11 juillet 2023 Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023 Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023 Bulletin de sécurité Schneider Electric SEVD-2023-010-06 du 10 janvier 2023 Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 10 janvier 2023 Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 08 juin 2021 Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019 Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document