[SCADA] Multiples vulnérabilités dans Schneider Electric SCADAPack

Gestion du document

Référence	CERTFR-2020-AVI-551
Titre	[SCADA] Multiples vulnérabilités dans Schneider Electric SCADAPack
Date de la première version	09 septembre 2020
Date de la dernière version	09 septembre 2020
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2020-252-01 du 08 septembre 2020
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Contournement de la politique de sécurité

Systèmes affectés

SCADAPack 7x RemoteConnect versions antérieures à V3.7.3.904
SCADAPack x70 Security Administrator versions antérieures à V1.6.2

Résumé

De multiples vulnérabilités ont été découvertes dans Schneider Electric SCADAPack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2020-252-01 du 08 septembre 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-252-01_SCADAPack_RemoteConnect_and_Security_Administrator.pdf&p_Doc_Ref=SEVD-2020-252-01
Référence CVE CVE-2020-7528
https://www.cve.org/CVERecord?id=CVE-2020-7528
Référence CVE CVE-2020-7529
https://www.cve.org/CVERecord?id=CVE-2020-7529
Référence CVE CVE-2020-7530
https://www.cve.org/CVERecord?id=CVE-2020-7530
Référence CVE CVE-2020-7531
https://www.cve.org/CVERecord?id=CVE-2020-7531
Référence CVE CVE-2020-7532
https://www.cve.org/CVERecord?id=CVE-2020-7532

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans Schneider Electric SCADAPack