[SCADA] Multiples vulnérabilités dans les produits Schneider

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés

spaceLYnk versions antérieures à V2.6.2
Wiser for KNX versions antérieures à V2.6.2
fellerLYnk versions antérieures à V2.6.2
ConneXium Network Manager
IGSS Data Collector (dc.exe) versions antérieures à V15.0.0.21244
Modicon M218 logic controller versions antérieures à 5.1.0.8
Conext Advisor 2 Cloud
Conext Advisor 2 Gateway
Conext Control V2 Gateway
micrologiciel TM5CSLC100FS version antérieures v2.57
micrologiciel TM5CSLC200FS version antérieures v2.57
micrologiciel TM5NS31 versions antérieures à 2.79
micrologiciel TM5NEIP1 versions antérieures à 3.12

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider SEVD-2021-285-01 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-01
Bulletin de sécurité Schneider SEVD-2021-285-02 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-02
Bulletin de sécurité Schneider SEVD-2021-285-03 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-03
Bulletin de sécurité Schneider SEVD-2021-285-04 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-04
Bulletin de sécurité Schneider SEVD-2021-285-05 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-05
Bulletin de sécurité Schneider SEVD-2021-285-06 du 12 octobre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-06
Référence CVE CVE-2021-22806
https://www.cve.org/CVERecord?id=CVE-2021-22806
Référence CVE CVE-2021-22801
https://www.cve.org/CVERecord?id=CVE-2021-22801
Référence CVE CVE-2021-22802
https://www.cve.org/CVERecord?id=CVE-2021-22802
Référence CVE CVE-2021-22803
https://www.cve.org/CVERecord?id=CVE-2021-22803
Référence CVE CVE-2021-22804
https://www.cve.org/CVERecord?id=CVE-2021-22804
Référence CVE CVE-2021-22805
https://www.cve.org/CVERecord?id=CVE-2021-22805
Référence CVE CVE-2021-22800
https://www.cve.org/CVERecord?id=CVE-2021-22800
Référence CVE CVE-2019-11135
https://www.cve.org/CVERecord?id=CVE-2019-11135
Référence CVE CVE-2020-0601
https://www.cve.org/CVERecord?id=CVE-2020-0601
Référence CVE CVE-2020-0609
https://www.cve.org/CVERecord?id=CVE-2020-0609
Référence CVE CVE-2020-0610
https://www.cve.org/CVERecord?id=CVE-2020-0610
Référence CVE CVE-2020-0796
https://www.cve.org/CVERecord?id=CVE-2020-0796
Référence CVE CVE-2020-0938
https://www.cve.org/CVERecord?id=CVE-2020-0938
Référence CVE CVE-2020-1020
https://www.cve.org/CVERecord?id=CVE-2020-1020
Référence CVE CVE-2020-1350
https://www.cve.org/CVERecord?id=CVE-2020-1350
Référence CVE CVE-2020-1472
https://www.cve.org/CVERecord?id=CVE-2020-1472
Référence CVE CVE-2019-0803
https://www.cve.org/CVERecord?id=CVE-2019-0803
Référence CVE CVE-2019-0685
https://www.cve.org/CVERecord?id=CVE-2019-0685
Référence CVE CVE-2019-0859
https://www.cve.org/CVERecord?id=CVE-2019-0859
Référence CVE CVE-2019-1040
https://www.cve.org/CVERecord?id=CVE-2019-1040
Référence CVE CVE-2020-13987
https://www.cve.org/CVERecord?id=CVE-2020-13987
Référence CVE CVE-2020-17438
https://www.cve.org/CVERecord?id=CVE-2020-17438

Référence	CERTFR-2021-AVI-772
Titre	[SCADA] Multiples vulnérabilités dans les produits Schneider
Date de la première version	12 octobre 2021
Date de la dernière version	12 octobre 2021
Source(s)	Bulletin de sécurité Schneider SEVD-2021-285-01 du 12 octobre 2021 Bulletin de sécurité Schneider SEVD-2021-285-02 du 12 octobre 2021 Bulletin de sécurité Schneider SEVD-2021-285-03 du 12 octobre 2021 Bulletin de sécurité Schneider SEVD-2021-285-04 du 12 octobre 2021 Bulletin de sécurité Schneider SEVD-2021-285-05 du 12 octobre 2021 Bulletin de sécurité Schneider SEVD-2021-285-06 du 12 octobre 2021
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Schneider

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document