Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- EcoStruxure Control Expert (incluant le produit Unity Pro) versions antérieures à 15.1 HF001
- EcoStruxure Process Expert (incluant le produit HDCS) versions antérieures à 2021
- OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures : L'éditeur ne propose pas de correctif, se référer aux mesures de contournement
- SCADAPack RemoteConnect pour x70 versions antérieures à R2.7.3
- X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.0.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2021-222-02 mis à jour le 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf
- Bulletin de sécurité Schneider Electric SEVD-2021-257-01 mis à jour le 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf
- Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf
- Référence CVE CVE-2021-21810 https://www.cve.org/CVERecord?id=CVE-2021-21810
- Référence CVE CVE-2021-21811 https://www.cve.org/CVERecord?id=CVE-2021-21811
- Référence CVE CVE-2021-21812 https://www.cve.org/CVERecord?id=CVE-2021-21812
- Référence CVE CVE-2021-21813 https://www.cve.org/CVERecord?id=CVE-2021-21813
- Référence CVE CVE-2021-21814 https://www.cve.org/CVERecord?id=CVE-2021-21814
- Référence CVE CVE-2021-21815 https://www.cve.org/CVERecord?id=CVE-2021-21815
- Référence CVE CVE-2021-21825 https://www.cve.org/CVERecord?id=CVE-2021-21825
- Référence CVE CVE-2021-21826 https://www.cve.org/CVERecord?id=CVE-2021-21826
- Référence CVE CVE-2021-21827 https://www.cve.org/CVERecord?id=CVE-2021-21827
- Référence CVE CVE-2021-21828 https://www.cve.org/CVERecord?id=CVE-2021-21828
- Référence CVE CVE-2021-21829 https://www.cve.org/CVERecord?id=CVE-2021-21829
- Référence CVE CVE-2021-21830 https://www.cve.org/CVERecord?id=CVE-2021-21830
- Référence CVE CVE-2021-22797 https://www.cve.org/CVERecord?id=CVE-2021-22797
- Référence CVE CVE-2022-26507 https://www.cve.org/CVERecord?id=CVE-2022-26507
- Référence CVE CVE-2022-34759 https://www.cve.org/CVERecord?id=CVE-2022-34759
- Référence CVE CVE-2022-34760 https://www.cve.org/CVERecord?id=CVE-2022-34760
- Référence CVE CVE-2022-34761 https://www.cve.org/CVERecord?id=CVE-2022-34761
- Référence CVE CVE-2022-34762 https://www.cve.org/CVERecord?id=CVE-2022-34762
- Référence CVE CVE-2022-34763 https://www.cve.org/CVERecord?id=CVE-2022-34763
- Référence CVE CVE-2022-34764 https://www.cve.org/CVERecord?id=CVE-2022-34764
- Référence CVE CVE-2022-34765 https://www.cve.org/CVERecord?id=CVE-2022-34765
