Risques
- Atteinte à la confidentialité des données
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
- CANopen X80 Communication Module (BMECXM0100) toutes versions
- EcoStruxure™ Control Expert version 15.1 sans le dernier correctif de sécurité
- Lexium ILE ILA ILS Communication Drive versions antérieures à 01.110
- Modicon M340 Ethernet TCP/IP Network Module BMXNOC0401 versions antérieures à 2.11
- Modicon M340 X80 Ethernet Communication module BMXNOC0401 versions antérieures à version 2.11
- Modicon M340 X80 Ethernet Communication Module BMXNOR0200H RTU versions antérieures à 1.7 IR24
- Modicon M340 X80 Ethernet Communication Modules BMXNOE0100 (H) toutes versions
- Modicon M340 X80 Ethernet Communication Modules BMXNOE0110 (H) toutes versions
- Modicon MC80 (BMKC80) versions antérieures à 1.8
- Modicon MC80 Controller (BMKC8*) versions antérieures à 1.8
- Modicon MC80 sans le correctif de sécurité BMKC8020301
- Modicon RTU BMXNOR0200H versions antérieures à 1.7 IR24
- Profibus Remote Master (TCSEGPA23F14F) toutes versions
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2022-256-01 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-256-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-256-01-EcoStruxure_Machine_SCADA_ExpertPro-face_BLUE_Open_Studio_Security_Notification.pdf
- Bulletin de sécurité Schneider SESB-2019-214-01 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2019-214-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SESB-2019-214-01_Wind_River_VxWorks_Security_Bulletin_V2.14.pdf
- Bulletin de sécurité Schneider SEVD-2018-081-01 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification_V4.0.pdf
- Bulletin de sécurité Schneider SEVD-2019-134-11 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-134-11&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-134-11_Modicon_Controllers_Security_Notification_V7.0.pdf
- Bulletin de sécurité Schneider SEVD-2020-315-01 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-315-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-315-01_Modicon_Web_Server_Security_Notification_V3.0.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-05 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-05-Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification_V2.1.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-06 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-06_Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification_V2.0.pdf
- Bulletin de sécurité Schneider SEVD-2020-343-07 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-343-07&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2020-343-07_SNMP_Service_Modicon_M340_CPU_Security_Notification_V2.1.pdf
- Bulletin de sécurité Schneider SEVD-2021-217-01 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-217-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-217-01_NicheStack_Security_Notification_V3.0.pdf
- Bulletin de sécurité Schneider SEVD-2021-257-02 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-257-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-02_Web_Server_Modicon_M340_Quantum_and_Premium_and_Communication_Modules_V2.0.pdf
- Bulletin de sécurité Schneider SEVD-2021-313-05 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification_V11.0.pdf
- Bulletin de sécurité Schneider SEVD-2022-221-02 du 13 septembre 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification_V2.0.pdf
- Référence CVE CVE-2011-4859 https://www.cve.org/CVERecord?id=CVE-2011-4859
- Référence CVE CVE-2018-7240 https://www.cve.org/CVERecord?id=CVE-2018-7240
- Référence CVE CVE-2018-7241 https://www.cve.org/CVERecord?id=CVE-2018-7241
- Référence CVE CVE-2018-7242 https://www.cve.org/CVERecord?id=CVE-2018-7242
- Référence CVE CVE-2018-7857 https://www.cve.org/CVERecord?id=CVE-2018-7857
- Référence CVE CVE-2019-6807 https://www.cve.org/CVERecord?id=CVE-2019-6807
- Référence CVE CVE-2020-28895 https://www.cve.org/CVERecord?id=CVE-2020-28895
- Référence CVE CVE-2020-35198 https://www.cve.org/CVERecord?id=CVE-2020-35198
- Référence CVE CVE-2020-35683 https://www.cve.org/CVERecord?id=CVE-2020-35683
- Référence CVE CVE-2020-35684 https://www.cve.org/CVERecord?id=CVE-2020-35684
- Référence CVE CVE-2020-35685 https://www.cve.org/CVERecord?id=CVE-2020-35685
- Référence CVE CVE-2020-7535 https://www.cve.org/CVERecord?id=CVE-2020-7535
- Référence CVE CVE-2020-7536 https://www.cve.org/CVERecord?id=CVE-2020-7536
- Référence CVE CVE-2020-7549 https://www.cve.org/CVERecord?id=CVE-2020-7549
- Référence CVE CVE-2020-7562 https://www.cve.org/CVERecord?id=CVE-2020-7562
- Référence CVE CVE-2020-7563 https://www.cve.org/CVERecord?id=CVE-2020-7563
- Référence CVE CVE-2020-7564 https://www.cve.org/CVERecord?id=CVE-2020-7564
- Référence CVE CVE-2021-22785 https://www.cve.org/CVERecord?id=CVE-2021-22785
- Référence CVE CVE-2021-22787 https://www.cve.org/CVERecord?id=CVE-2021-22787
- Référence CVE CVE-2021-22788 https://www.cve.org/CVERecord?id=CVE-2021-22788
- Référence CVE CVE-2021-31400 https://www.cve.org/CVERecord?id=CVE-2021-31400
- Référence CVE CVE-2021-31401 https://www.cve.org/CVERecord?id=CVE-2021-31401
- Référence CVE CVE-2022-0222 https://www.cve.org/CVERecord?id=CVE-2022-0222
- Référence CVE CVE-2022-37301 https://www.cve.org/CVERecord?id=CVE-2022-37301
