Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
Systèmes affectés
- EcoStruxure Control Expert toutes versions (versions Unity Pro inclus) antérieures 15.0 SP1
- EcoStruxure Control Expert version antérieures à V15.0 SP1 sans le dernier correctif
- EcoStruxure Process Expert toutes versions (versions EcoStruxure Hybrid DCS inclus)
- SCADAPack RemoteConnect for x70 toutes versions
- Modicon M580 CPU (part numbers BMEP* et BMEH*) toutes versions
- Modicon M340 CPU (part numbers BMXP34*) toutes versions
- SoSafe Configurable versions antérieures à 1.8.1
- C-Bus Toolkit versions antérieures à 1.15.9
- Easergy T300 avec un microgiciel (firmware) en versions antérieures à 2.8
- Easergy T200 (Modbus) versions antérieures à SC2-04MOD-07000103
- Easergy T200 (IEC104) versions antérieures à SC2-04IEC-07000103
- Easergy T200 (DNP3) versions antérieures à SC2-04DNP-07000103
- EVlink CityEVC1S22P4 / EVC1S7P4 versions antérieures à R8 V3.4.0.1
- EVlink ParkingEVW2 / EVF2 / EV.2 versions antérieures à R8 V3.4.0.1
- EVlink Smart WallboxEVB1A versions antérieures à R8 V3.4.0.1
Note : Actuellement, aucun correctif n'est proposé pour les vulnérabilités dans les produits EcoStruxure Process Expert, Modicon M580, Modicon M340 et SCADAPack. Cependant des mesures de contournement sont proposées par l'éditeur pour les produits Modicon M580 et M340 afin de réduire le risque et l'impact d'exploitation de la CVE-2021-22779.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un dénis de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2021-194-01 du 13 juillet 2021 https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340.pdf&p_Doc_Ref=SEVD-2021-194-01
- Bulletin de sécurité Schneider SEVD-2021-194-02 du 13 juillet 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-02
- Bulletin de sécurité Schneider SEVD-2021-194-03 du 13 juillet 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-03
- Bulletin de sécurité Schneider SEVD-2021-194-04 du 13 juillet 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-04
- Bulletin de sécurité Schneider SEVD-2021-194-05 du 13 juillet 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-05
- Bulletin de sécurité Schneider SEVD-2021-194-06 du 13 juillet 2021 https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2021-194-06_EVlink_City_Parking_SmartWallbox_Charging_Stations_Security_Notification.pdf&p_Doc_Ref=SEVD-2021-194-06
- Référence CVE CVE-2020-12525 https://www.cve.org/CVERecord?id=CVE-2020-12525
- Référence CVE CVE-2021-22706 https://www.cve.org/CVERecord?id=CVE-2021-22706
- Référence CVE CVE-2021-22707 https://www.cve.org/CVERecord?id=CVE-2021-22707
- Référence CVE CVE-2021-22708 https://www.cve.org/CVERecord?id=CVE-2021-22708
- Référence CVE CVE-2021-22721 https://www.cve.org/CVERecord?id=CVE-2021-22721
- Référence CVE CVE-2021-22722 https://www.cve.org/CVERecord?id=CVE-2021-22722
- Référence CVE CVE-2021-22723 https://www.cve.org/CVERecord?id=CVE-2021-22723
- Référence CVE CVE-2021-22726 https://www.cve.org/CVERecord?id=CVE-2021-22726
- Référence CVE CVE-2021-22727 https://www.cve.org/CVERecord?id=CVE-2021-22727
- Référence CVE CVE-2021-22728 https://www.cve.org/CVERecord?id=CVE-2021-22728
- Référence CVE CVE-2021-22729 https://www.cve.org/CVERecord?id=CVE-2021-22729
- Référence CVE CVE-2021-22730 https://www.cve.org/CVERecord?id=CVE-2021-22730
- Référence CVE CVE-2021-22769 https://www.cve.org/CVERecord?id=CVE-2021-22769
- Référence CVE CVE-2021-22770 https://www.cve.org/CVERecord?id=CVE-2021-22770
- Référence CVE CVE-2021-22771 https://www.cve.org/CVERecord?id=CVE-2021-22771
- Référence CVE CVE-2021-22772 https://www.cve.org/CVERecord?id=CVE-2021-22772
- Référence CVE CVE-2021-22773 https://www.cve.org/CVERecord?id=CVE-2021-22773
- Référence CVE CVE-2021-22774 https://www.cve.org/CVERecord?id=CVE-2021-22774
- Référence CVE CVE-2021-22777 https://www.cve.org/CVERecord?id=CVE-2021-22777
- Référence CVE CVE-2021-22778 https://www.cve.org/CVERecord?id=CVE-2021-22778
- Référence CVE CVE-2021-22779 https://www.cve.org/CVERecord?id=CVE-2021-22779
- Référence CVE CVE-2021-22780 https://www.cve.org/CVERecord?id=CVE-2021-22780
- Référence CVE CVE-2021-22781 https://www.cve.org/CVERecord?id=CVE-2021-22781
- Référence CVE CVE-2021-22782 https://www.cve.org/CVERecord?id=CVE-2021-22782
- Référence CVE CVE-2021-22784 https://www.cve.org/CVERecord?id=CVE-2021-22784