Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- EcoStruxure Control Expert versions antérieures à 15.1
- EcoStruxure Process Expert versions antérieures à 2021
- SCADAPack RemoteConnect for x70 toutes versions, se référer aux mesures de contournement proposées par l'éditeur
- Smart-UPS séries SMT micrologiciels versions antérieures à UPS 04.6 permettant une correction partielle de la vulnérabilité CVE-2022-0715 et une correction des vulnérabilités CVE-2022-22805 et CVE-2022-22806
- Smart-UPS séries SMC micrologiciels versions antérieures à UPS 04.3 permettant une correction partielle de la vulnérabilité CVE-2022-0715 et une correction des vulnérabilités CVE-2022-22805 et CVE-2022-22806
- Aucun correctif n'est disponible pour les séries Smart-UPS SCL, SMX et SRT ainsi que les séries SmartConnect SMTL, SCL, et SMX. Se référer aux mesures de contournement proposées par l'éditeur
- Ritto Wiser Door toutes versions, se référer aux mesures de contournement proposées par l'éditeur
Pour les vulnérabilités identifiées CVE-2021-22778, CVE-2021-22780, CVE-2021-22781, CVE-2021-22782 et CVE-2020-12525, la mise à niveau vers EcoStruxure Control Expert v15.1 et EcoStruxure Process Expert v2021 constitue une première étape de contournement. L'éditeur annoncera la publication d'un nouveau micrologiciel afin de corriger ces vulnérabilités.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2022-067-01 du 8 mars 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-01 - Bulletin de sécurité Schneider SEVD-2022-067-02 du 8 mars 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02 - Bulletin de sécurité Schneider SEVD-2022-067-03 du 8 mars 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-03 - Bulletin de sécurité Schneider SEVD-2021-222-02 du 10 août 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-02 - Bulletin de sécurité Schneider SEVD-2021-257-01 du 14 septembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-257-01 - Bulletin de sécurité Schneider SEVD-2021-313-04 du 09 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-04 - Bulletin de sécurité Schneider 2021-194-01 du 13 juillet 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01 - Référence CVE CVE-2022-24322
https://www.cve.org/CVERecord?id=CVE-2022-24322 - Référence CVE CVE-2022-24323
https://www.cve.org/CVERecord?id=CVE-2022-24323 - Référence CVE CVE-2021-22783
https://www.cve.org/CVERecord?id=CVE-2021-22783 - Référence CVE CVE-2021-21811
https://www.cve.org/CVERecord?id=CVE-2021-21811 - Référence CVE CVE-2021-21810
https://www.cve.org/CVERecord?id=CVE-2021-21810 - Référence CVE CVE-2021-21812
https://www.cve.org/CVERecord?id=CVE-2021-21812 - Référence CVE CVE-2021-21814
https://www.cve.org/CVERecord?id=CVE-2021-21814 - Référence CVE CVE-2021-21813
https://www.cve.org/CVERecord?id=CVE-2021-21813 - Référence CVE CVE-2021-21815
https://www.cve.org/CVERecord?id=CVE-2021-21815 - Référence CVE CVE-2021-21826
https://www.cve.org/CVERecord?id=CVE-2021-21826 - Référence CVE CVE-2021-21825
https://www.cve.org/CVERecord?id=CVE-2021-21825 - Référence CVE CVE-2021-21827
https://www.cve.org/CVERecord?id=CVE-2021-21827 - Référence CVE CVE-2021-21829
https://www.cve.org/CVERecord?id=CVE-2021-21829 - Référence CVE CVE-2021-21828
https://www.cve.org/CVERecord?id=CVE-2021-21828 - Référence CVE CVE-2021-21830
https://www.cve.org/CVERecord?id=CVE-2021-21830 - Référence CVE CVE-2021-22797
https://www.cve.org/CVERecord?id=CVE-2021-22797 - Référence CVE CVE-2021-34527
https://www.cve.org/CVERecord?id=CVE-2021-34527 - Référence CVE CVE-2021-1675
https://www.cve.org/CVERecord?id=CVE-2021-1675 - Référence CVE CVE-2021-22779
https://www.cve.org/CVERecord?id=CVE-2021-22779 - Référence CVE CVE-2021-22778
https://www.cve.org/CVERecord?id=CVE-2021-22778 - Référence CVE CVE-2020-12525
https://www.cve.org/CVERecord?id=CVE-2020-12525 - Référence CVE CVE-2021-22780
https://www.cve.org/CVERecord?id=CVE-2021-22780 - Référence CVE CVE-2021-22781
https://www.cve.org/CVERecord?id=CVE-2021-22781 - Référence CVE CVE-2021-22782
https://www.cve.org/CVERecord?id=CVE-2021-22782 - Référence CVE CVE-2022-0715
https://www.cve.org/CVERecord?id=CVE-2022-0715 - Référence CVE CVE-2022-22805
https://www.cve.org/CVERecord?id=CVE-2022-22805 - Référence CVE CVE-2022-22806
https://www.cve.org/CVERecord?id=CVE-2022-22806