Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire
Systèmes affectés
- EcoStruxure™ Control Expert
- Unity Pro (former name of EcoStruxure™ Control Expert)
- EcoStruxure Geo SCADA Expert 2019 versions antérieures à 81.7613.1
- EcoStruxure Geo SCADA Expert 2020 versions antérieures à 83.7613.1
- Modicon M340 CPU BMXP34* versions antérieures à V3.3
- Modicon M340 Ethernet Communication modules BMXNOC0401 versions antérieures à V2.10 (*)
- Modicon M340 Ethernet Communication modules BMXNOE0100 versions antérieures à V3.4
- Modicon M340 Ethernet Communication modules BMXNOE0110 versions antérieures à V6.6
- Modicon Premium processors with integrated Ethernet COPRO TSXP574634, TSXP575634, TSXP576634
- Modicon Quantum CPUs 140CPU65xxxxx versions antérieures à V6.1 (*)
- Modicon Quantum communication modules 140NOE771x1 versions antérieures à V7.3 (*)
- Modicon Quantum communication modules 140NOC78x00 versions antérieures à V1.74 (*)
- Modicon Quantum communication modules 140NOC77101 versions antérieures à V1.08
- Modicon Premium communication modules TSXETY4103 versions antérieures à V6.2 (*)
- Modicon Premium communication modules TSXETY5103 versions antérieures à V6.4 (*)
- Modicon Premium CPUs TSXP574634, TSXP575634, TSXP576634 versions antérieures à V6.1 (*)
- BMXNOE0100
- BMXNOE0110
- BMXNOR0200H
- BMXNOR200H
- Modicon M580 CPUs BMEx58xxxxx microgiciel versions antérieures à 3.20
- Modicon M258 versions antérieures à 5.0.4.11
- SoMachine/SoMachine Motion software
(*) ces versions ne corrigent pas toutes les vulnérabilités
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2020-343-01 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-01/
- Bulletin de sécurité Schneider SEVD-2020-343-02 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-02/
- Bulletin de sécurité Schneider SEVD-2020-343-03 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-03/
- Bulletin de sécurité Schneider SEVD-2020-343-04 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-04/
- Bulletin de sécurité Schneider SEVD-2020-343-05 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-05/
- Bulletin de sécurité Schneider SEVD-2020-343-06 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-06/
- Bulletin de sécurité Schneider SEVD-2020-343-07 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-07/
- Bulletin de sécurité Schneider SEVD-2020-343-08 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-08/
- Bulletin de sécurité Schneider SEVD-2020-343-09 du 06 décembre 2020 https://www.se.com/ww/en/download/document/SEVD-2020-343-09/
- Référence CVE CVE-2020-28219 https://www.cve.org/CVERecord?id=CVE-2020-28219
- Référence CVE CVE-2020-28220 https://www.cve.org/CVERecord?id=CVE-2020-28220
- Référence CVE CVE-2020-7535 https://www.cve.org/CVERecord?id=CVE-2020-7535
- Référence CVE CVE-2020-7536 https://www.cve.org/CVERecord?id=CVE-2020-7536
- Référence CVE CVE-2020-7537 https://www.cve.org/CVERecord?id=CVE-2020-7537
- Référence CVE CVE-2020-7540 https://www.cve.org/CVERecord?id=CVE-2020-7540
- Référence CVE CVE-2020-7542 https://www.cve.org/CVERecord?id=CVE-2020-7542
- Référence CVE CVE-2020-7543 https://www.cve.org/CVERecord?id=CVE-2020-7543
- Référence CVE CVE-2020-7549 https://www.cve.org/CVERecord?id=CVE-2020-7549
- Référence CVE CVE-2020-7560 https://www.cve.org/CVERecord?id=CVE-2020-7560
