Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- contrôleurs Modicon M241, M251 et M262, HMISCU et EcoStruxure Machine Expert sans les derniers correctifs de sécurité et mesures de contournement
- contrôleurs PacDrive sans le dernier correctif de sécurité
- Easergy Studio versions antérieures à v9.3.5
- EcoStruxure Control Expert versions antérieures à v16.0
- Harmony/Magelis HMISCU versions antérieures à 6.3.1
- Magelis XBT
- Modicon M580 versions antérieures à sv4.20
- PowerLogic T300, MiCOM C264 D7.21 (et ultérieures) ou Easergy C5 1.1.6 (et ultérieures), PACiS GTW et EPAS GTW sans les dernières mesures de contournement
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-225-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=sevd-2019-225-01.json
- Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 08 juin 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 10 janvier 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-010-06 du 10 janvier 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-06_Modicon_Controllers_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-192-04 du 11 juillet 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-04.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-009-02 du 09 janvier 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-009-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-009-02.pdf
- Référence CVE CVE-2019-6833 https://www.cve.org/CVERecord?id=CVE-2019-6833
- Référence CVE CVE-2020-25176 https://www.cve.org/CVERecord?id=CVE-2020-25176
- Référence CVE CVE-2020-25178 https://www.cve.org/CVERecord?id=CVE-2020-25178
- Référence CVE CVE-2020-25180 https://www.cve.org/CVERecord?id=CVE-2020-25180
- Référence CVE CVE-2020-25182 https://www.cve.org/CVERecord?id=CVE-2020-25182
- Référence CVE CVE-2020-25184 https://www.cve.org/CVERecord?id=CVE-2020-25184
- Référence CVE CVE-2022-4046 https://www.cve.org/CVERecord?id=CVE-2022-4046
- Référence CVE CVE-2022-4224 https://www.cve.org/CVERecord?id=CVE-2022-4224
- Référence CVE CVE-2023-1548 https://www.cve.org/CVERecord?id=CVE-2023-1548
- Référence CVE CVE-2023-27976 https://www.cve.org/CVERecord?id=CVE-2023-27976
- Référence CVE CVE-2023-28355 https://www.cve.org/CVERecord?id=CVE-2023-28355
- Référence CVE CVE-2023-7032 https://www.cve.org/CVERecord?id=CVE-2023-7032
