Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- APC Easy UPS Online Monitoring versions antérieures à 2.5-GA-01-22320
- SAITEL DR RTU Baseline 11.06.x antérieures à 1.06.15
- EcoStruxure Power Commission versions antérieures à 2.26
- Modicon M580 CPU Safety (BMEP58*S et BMEH58*S) toutes versions
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-281-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-281-02_Modicon_Controllers.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-04_Modicon_PAC_Controllers_PLC_Simulator_Control_Expert_Process_Expert_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-01_EcoStruxure_Control_Expert_Modicon580_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-04-Modicon_Controllers_Ethernet_Modules_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-03_EcoStruxure_Power_Commission_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-02_SAITEL_DR_RTU_Security_Notification.pdf - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01-APC_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf - Référence CVE CVE-2022-42970
https://www.cve.org/CVERecord?id=CVE-2022-42970 - Référence CVE CVE-2022-42971
https://www.cve.org/CVERecord?id=CVE-2022-42971 - Référence CVE CVE-2022-42972
https://www.cve.org/CVERecord?id=CVE-2022-42972 - Référence CVE CVE-2022-42973
https://www.cve.org/CVERecord?id=CVE-2022-42973 - Référence CVE CVE-2020-6996
https://www.cve.org/CVERecord?id=CVE-2020-6996 - Référence CVE CVE-2022-4062
https://www.cve.org/CVERecord?id=CVE-2022-4062 - Référence CVE CVE-2021-22786
https://www.cve.org/CVERecord?id=CVE-2021-22786 - Référence CVE CVE-2022-37301
https://www.cve.org/CVERecord?id=CVE-2022-37301 - Référence CVE CVE-2022-37300
https://www.cve.org/CVERecord?id=CVE-2022-37300 - Référence CVE CVE-2020-35198
https://www.cve.org/CVERecord?id=CVE-2020-35198 - Référence CVE CVE-2020-28895
https://www.cve.org/CVERecord?id=CVE-2020-28895 - Référence CVE CVE-2021-22789
https://www.cve.org/CVERecord?id=CVE-2021-22789 - Référence CVE CVE-2021-22790
https://www.cve.org/CVERecord?id=CVE-2021-22790 - Référence CVE CVE-2021-22791
https://www.cve.org/CVERecord?id=CVE-2021-22791 - Référence CVE CVE-2021-22792
https://www.cve.org/CVERecord?id=CVE-2021-22792 - Référence CVE CVE-2021-22779
https://www.cve.org/CVERecord?id=CVE-2021-22779 - Référence CVE CVE-2019-6841
https://www.cve.org/CVERecord?id=CVE-2019-6841 - Référence CVE CVE-2019-6842
https://www.cve.org/CVERecord?id=CVE-2019-6842 - Référence CVE CVE-2019-6843
https://www.cve.org/CVERecord?id=CVE-2019-6843 - Référence CVE CVE-2019-6844
https://www.cve.org/CVERecord?id=CVE-2019-6844 - Référence CVE CVE-2019-6846
https://www.cve.org/CVERecord?id=CVE-2019-6846 - Référence CVE CVE-2019-6847
https://www.cve.org/CVERecord?id=CVE-2019-6847 - Référence CVE CVE-2018-7240
https://www.cve.org/CVERecord?id=CVE-2018-7240 - Référence CVE CVE-2018-7241
https://www.cve.org/CVERecord?id=CVE-2018-7241 - Référence CVE CVE-2018-7242
https://www.cve.org/CVERecord?id=CVE-2018-7242