Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • EcoStruxure Machine Expert versions antérieures à 2.0
  • Geo SCADA Expert 2020 version April 2021 (83.7787.1)
  • Harmony HMISCU configuré par EcoStruxure Machine Expert versions antérieures à 2.0
  • Harmony STO, STU, GTO, GTU, GTUX, KG configuré par Vijeo Designer versions antérieures à 6.2 SP11
  • homeLYnk versions antérieures à 2.61 (ne corrige pas toutes les vulnérabilités)
  • micrologiciel pour Modicon M218/M241/M251/M262, LMC PacDrive Eco/Pro/Pro2, HMISCU Logic Controllers sans le dernier correctif
  • micrologiciel pour Modicon M241/M251 versions antérieures à 5.1.9.14
  • Modicon Managed Switch MCSESM et MCSESP versions antérieures à 8.22
  • spaceLYnk versions antérieures à 2.61 (ne corrige pas toutes les vulnérabilités)
  • TCM 4351B versions Tricon antérieures à 11.5.1 ou 11.7.1 (build 638)
  • Triconex modèle 3009 MP versions Tricon antérieures à 11.8.0 (build 753)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation