Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • CanBRASS versions antérieures à 7.6
  • Clipsal C-Bus Network Automation Controller 5500NAC versions antérieures à 1.11.0
  • Clipsal C-Bus Network Automation Controller 5500SHAC versions antérieures à 1.11.0
  • Conext ComBox toutes versions
  • EcoStruxure Cybersecurity Admin Expert (CAE) versions antérieures à 2.4
  • EcoStruxure Power Build: Rapsody Software versions antérieures à 2.1.13
  • EcoStruxure Power Commission versions antérieures à 2.22
  • EPC2000 versions antérieures à 4.03
  • Geo SCADA Mobile versions antérieures au Build 202205171
  • IGSS Data Server versions antérieures à 15.0.0.22170
  • SCADAPack RemoteConnect pour x70 versions antérieures à R2.7.3
  • Schneider Electric C-Bus Network Automation Controller LSS5500NAC versions antérieures à 1.11.0
  • Schneider Electric C-Bus Network Automation Controller LSS5500SHAC versions antérieures à 1.11.0
  • Smart-UPS SCL Series versions antérieures à 15.1
  • Smart-UPS SMT SMC, SMX, SRC, XU, XP, SURTD, CHS2 et SRTL Series toutes versions
  • Smart-UPS SRT Series versions antérieures à 15.0
  • SpaceLogic C-Bus Network Automation Controller 5500AC2 versions antérieures à 1.11.0
  • SpaceLogic C-Bus Network Automation Controller 5500NAC2 versions antérieures à 1.11.0
  • StruxureWare Data Center Expert versions antérieures à 7.9.1
  • Versadac versions antérieures à 2.43

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation