Risque(s)
- Déni de service à distance
- Atteinte à la confidentialité des données
Systèmes affectés
- Modicon M340 CPUBMXP34* versions antérieures à V3.30
- Modicon M340 Ethernet Communication modules BMXNOE0100 (H) versions antérieures à V3.3
- Modicon M340 Ethernet Communication modules BMXNOE0110 (H) versions antérieures à V6.5
- Modicon M340 Ethernet Communication modules BMXNOC0401(H) versions antérieures à V2.10
- Modicon Premium processors with integrated Ethernet COPRO: TSXP574634, TSXP575634, TSXP576634 versions antérieures à V6.1
- Modicon Premium communication modules TSXETY4103 versions antérieures à V6.2
- Modicon Premium communication modules TSXETY5103 versions antérieures à V6.4
- Modicon Quantum processors with integrated Ethernet COPRO 140CPU65xx0 versions antérieures à V6.1
- Modicon Quantum communication modules 140NOE771x1 versions antérieures à V7.1
- Modicon Quantum communication modules 140NOC78x00 versions antérieures à V1.74
- Modicon Quantum communication modules 140NOC77101 versions antérieures à V1.08
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Modicon. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
Cet avis a fait l'objet d'une correction par l'éditeur et n'a pas pu être intégré dans l'avis CERTFR-2020-AVI-801 publié hier.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2020-343-03 du 08 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-03/ - Référence CVE CVE-2020-7541
https://www.cve.org/CVERecord?id=CVE-2020-7541 - Référence CVE CVE-2020-7539
https://www.cve.org/CVERecord?id=CVE-2020-7539
