Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 juillet 2022

N° CERTFR-2022-AVI-628

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Référence	CERTFR-2022-AVI-628
Titre	Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	12 juillet 2022
Date de la dernière version	22 août 2022
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2021-194-01 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2021-257-01 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-067-02 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-102-01 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-193-02 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-193-03 du 12 juillet 2022 Bulletin de sécurité Schneider Electric SEVD-2022-193-04 du 12 juillet 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

Acti9 PowerTag Link C (A9XELC10-A) versions antérieures à 2.14.0
Acti9 PowerTag Link C (A9XELC10-B) versions antérieures à 2.14.0
EcoStruxure Machine Expert versions antérieures à 2.0.3
IGSS Data Server versions antérieures à 15.0.0.22074
Micrologiciels Easergy P5 versions antérieures à 01.401.102
Micrologiciels Smart-UPS SCL, SRT, SRC, & XU Series versions antérieures à 15.0
OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures
SCADAPack RemoteConnect for x70 versions antérieures à R2.7.3
SpaceLogic C-Bus Home Controller (5200WHC2), C-Bus Wiser Homer Controller MK2 versions antérieures à 4.14.0 (PICED_V4.14.0 Programming Interface for C-Bus Embedded Devices version V4.14.0)
X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.01

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2021-194-01 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_V4.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2021-257-01 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-067-02 du 12 juillet 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-067-02_APC-Smart-UPS_Security_Notification_V6.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-102-01 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-193-02 du 12 juillet 2022

https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-193-03 du 12 juillet 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-03_Acti9_PowerTag_Link_C_Security_Notification.pdf

Bulletin de sécurité Schneider Electric SEVD-2022-193-04 du 12 juillet 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-04_Easergy_P5_Security_Notification.pdf

Référence CVE CVE-2020-12525

https://www.cve.org/CVERecord?id=CVE-2020-12525

Référence CVE CVE-2021-21810

https://www.cve.org/CVERecord?id=CVE-2021-21810

Référence CVE CVE-2021-21811

https://www.cve.org/CVERecord?id=CVE-2021-21811

Référence CVE CVE-2021-21812

https://www.cve.org/CVERecord?id=CVE-2021-21812

Référence CVE CVE-2021-21813

https://www.cve.org/CVERecord?id=CVE-2021-21813

Référence CVE CVE-2021-21814

https://www.cve.org/CVERecord?id=CVE-2021-21814

Référence CVE CVE-2021-21815

https://www.cve.org/CVERecord?id=CVE-2021-21815

Référence CVE CVE-2021-21825

https://www.cve.org/CVERecord?id=CVE-2021-21825

Référence CVE CVE-2021-21826

https://www.cve.org/CVERecord?id=CVE-2021-21826

Référence CVE CVE-2021-21827

https://www.cve.org/CVERecord?id=CVE-2021-21827

Référence CVE CVE-2021-21828

https://www.cve.org/CVERecord?id=CVE-2021-21828

Référence CVE CVE-2021-21829

https://www.cve.org/CVERecord?id=CVE-2021-21829

Référence CVE CVE-2021-21830

https://www.cve.org/CVERecord?id=CVE-2021-21830

Référence CVE CVE-2021-21863

https://www.cve.org/CVERecord?id=CVE-2021-21863

Référence CVE CVE-2021-21864

https://www.cve.org/CVERecord?id=CVE-2021-21864

Référence CVE CVE-2021-21865

https://www.cve.org/CVERecord?id=CVE-2021-21865

Référence CVE CVE-2021-21866

https://www.cve.org/CVERecord?id=CVE-2021-21866

Référence CVE CVE-2021-21867

https://www.cve.org/CVERecord?id=CVE-2021-21867

Référence CVE CVE-2021-21868

https://www.cve.org/CVERecord?id=CVE-2021-21868

Référence CVE CVE-2021-21869

https://www.cve.org/CVERecord?id=CVE-2021-21869

Référence CVE CVE-2021-22778

https://www.cve.org/CVERecord?id=CVE-2021-22778

Référence CVE CVE-2021-22779

https://www.cve.org/CVERecord?id=CVE-2021-22779

Référence CVE CVE-2021-22780

https://www.cve.org/CVERecord?id=CVE-2021-22780

Référence CVE CVE-2021-22781

https://www.cve.org/CVERecord?id=CVE-2021-22781

Référence CVE CVE-2021-22782

https://www.cve.org/CVERecord?id=CVE-2021-22782

Référence CVE CVE-2021-22797

https://www.cve.org/CVERecord?id=CVE-2021-22797

Référence CVE CVE-2021-29240

https://www.cve.org/CVERecord?id=CVE-2021-29240

Référence CVE CVE-2021-29241

https://www.cve.org/CVERecord?id=CVE-2021-29241

Référence CVE CVE-2021-33485

https://www.cve.org/CVERecord?id=CVE-2021-33485

Référence CVE CVE-2022-0715

https://www.cve.org/CVERecord?id=CVE-2022-0715

Référence CVE CVE-2022-22805

https://www.cve.org/CVERecord?id=CVE-2022-22805

Référence CVE CVE-2022-22806

https://www.cve.org/CVERecord?id=CVE-2022-22806

Référence CVE CVE-2022-2329

https://www.cve.org/CVERecord?id=CVE-2022-2329

Référence CVE CVE-2022-24324

https://www.cve.org/CVERecord?id=CVE-2022-24324

Référence CVE CVE-2022-26507

https://www.cve.org/CVERecord?id=CVE-2022-26507

Référence CVE CVE-2022-34753

https://www.cve.org/CVERecord?id=CVE-2022-34753

Référence CVE CVE-2022-34754

https://www.cve.org/CVERecord?id=CVE-2022-34754

Référence CVE CVE-2022-34756

https://www.cve.org/CVERecord?id=CVE-2022-34756

Référence CVE CVE-2022-34757

https://www.cve.org/CVERecord?id=CVE-2022-34757

Référence CVE CVE-2022-34758

https://www.cve.org/CVERecord?id=CVE-2022-34758

Référence CVE CVE-2022-34759

https://www.cve.org/CVERecord?id=CVE-2022-34759

Référence CVE CVE-2022-34760

https://www.cve.org/CVERecord?id=CVE-2022-34760

Référence CVE CVE-2022-34761

https://www.cve.org/CVERecord?id=CVE-2022-34761

Référence CVE CVE-2022-34762

https://www.cve.org/CVERecord?id=CVE-2022-34762

Référence CVE CVE-2022-34763

https://www.cve.org/CVERecord?id=CVE-2022-34763

Référence CVE CVE-2022-34764

https://www.cve.org/CVERecord?id=CVE-2022-34764

Référence CVE CVE-2022-34765

https://www.cve.org/CVERecord?id=CVE-2022-34765

Gestion détaillée du document

le 12 juillet 2022: Version initiale
le 22 août 2022: Mise à jour des liens
le 22 août 2022: Mise à jour des liens