Multiples vulnérabilités dans les produits Schneider Electric

Risques

Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

APC Easy UPS Online Monitoring Software Windows 10, 11, Windows Server 2016, 2019 et 2022 versions antérieures à 2.6-GA-01-23116
EcoStruxure Foxboro DCS Control Core Services toutes versions sans le correctif HF9857795
EcoStruxure Operation Terminal Expert versions antérieures à 3.4
Foxboro SCADA toutes versions
IGSS Dashboard versions antérieures à 16.0.0.23131
Pro-face BLUE versions antérieures à 3.4
Schneider Electric Easy UPS Online Monitoring Software Windows 10, 11, Windows Server 2016, 2019 et 2022 versions antérieures à 2.6-GA-01-23116

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2023-101-04 du 11 avril 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf

Bulletin de sécurité Schneider Electric SEVD-2023-164-01 du 13 juin 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-164-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-164-01.pdf

Bulletin de sécurité Schneider Electric SEVD-2023-164-02 du 13 juin 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-164-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-164-02.pdf

Bulletin de sécurité Schneider Electric SEVD-2023-164-03 du 13 juin 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-164-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-164-03.pdf

Bulletin de sécurité Schneider Electric SEVD-2023-164-04 du 13 juin 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-164-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-164-04.pdf

Référence CVE CVE-2023-1049

https://www.cve.org/CVERecord?id=CVE-2023-1049

Référence CVE CVE-2023-2569

https://www.cve.org/CVERecord?id=CVE-2023-2569

Référence CVE CVE-2023-2570

https://www.cve.org/CVERecord?id=CVE-2023-2570

Référence CVE CVE-2023-29411

https://www.cve.org/CVERecord?id=CVE-2023-29411

Référence CVE CVE-2023-29412

https://www.cve.org/CVERecord?id=CVE-2023-29412

Référence CVE CVE-2023-29413

https://www.cve.org/CVERecord?id=CVE-2023-29413

Référence CVE CVE-2023-3001

https://www.cve.org/CVERecord?id=CVE-2023-3001

Référence	CERTFR-2023-AVI-0452
Titre	Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	13 juin 2023
Date de la dernière version	13 juin 2023
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2023-101-04 du 11 avril 2023 Bulletin de sécurité Schneider Electric SEVD-2023-164-01 du 13 juin 2023 Bulletin de sécurité Schneider Electric SEVD-2023-164-02 du 13 juin 2023 Bulletin de sécurité Schneider Electric SEVD-2023-164-03 du 13 juin 2023 Bulletin de sécurité Schneider Electric SEVD-2023-164-04 du 13 juin 2023
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document