Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • EcoStruxure TM Geo SCADA Expert 2019 sans le dernier correctif de sécurité d'octobre 2022
  • EcoStruxure TM Geo SCADA Expert 2020 sans le dernier correctif de sécurité d'octobre 2022
  • EcoStruxure TM Geo SCADA Expert 2021 sans le dernier correctif de sécurité d'octobre 2022
  • Merten INSTABUS Tastermodul 1fach System M version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten INSTABUS Tastermodul 2fach System M version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten KNX ARGUS 180/2,20M UP SYSTEM version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten KNX Schaltakt.2x6A UP m.2 Eing. version du programme 0.1 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W version du programme 1.0 et 1.1 si une taille de la clé BCU est inférieure à 8 chiffres
  • Merten Tasterschnittstelle 4fach plus version du programme 1.0 et 1.2 si une taille de la clé BCU est inférieure à 8 chiffres
  • StruxureWare DataCenter Expert versions antérieures à V7.9.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation