Accueil > Alertes CERT-MC > AVIS CERTFR - 2019 - AVI - 312

AVIS CERTFR - 2019 - AVI - 312

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2019-AVI-312

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Zelio Soft 2 versions antérieures à v5.3
- Interactive Graphical SCADA System (IGSS) versions antérieures à 13.0.0.19140
- Interactive Graphical SCADA System (IGSS) versions 14.x antérieures à 14.0.0.19120
- Modicon Ethernet Module BMENOC0301 versions antérieures à V2.16
- Modicon M580 versions antérieures à V2.90
- Modicon M340 versions antérieures à V3.01
- Control Expert versions antérieures à V14.0 sans le dernier correctif de sécurité
- Modicon Momentum M1E 171CBU98090Modicon Momentum M1E 171CBU98091
- Modicon M340 versions antérieures à V2.70
- Modicon M580 versions antérieures à V2.01
- Modicon Premium versions antérieures à V3.10
- Modicon Quantum versions antérieures à V3.12
- Modicon M221
- SCADAPack 32 RTU
- SCADAPack 300 series RTU (314, 330, 334, 350)
- SCADAPack 300 E et 500 E series RTU (312E, 313E, 314E, 330E, 333E, 337E, 350E, 530E, 535E)
- SCADAPack 57x RTU (570, 575)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2019-190-01 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-01-Zelio-Soft-2.pdf&p_Doc_Ref=SEVD-2019-190-01
- Bulletin de sécurité Schneider Electric SEVD-2019-190-02 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-02-IGSS.pdf&p_Doc_Ref=SEVD-2019-190-02
- Bulletin de sécurité Schneider Electric SEVD-2019-190-03 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-03-Modicon-M580-Controller.pdf&p_Doc_Ref=SEVD-2019-190-03
- Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-11-Modicon-Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-11
- Bulletin de sécurité Schneider Electric SEVD-2017-065-01 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2017-065-01-Modicon-SCADAPack-V2.0.pdf&p_Doc_Ref=SEVD-2017-065-01
- Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 02 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-05-Modicon+Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-05
- Référence CVE CVE-2019-6822
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6822
- Référence CVE CVE-2019-6827
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6827
- Référence CVE CVE-2018-7838
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7838
- Référence CVE CVE-2018-7846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7846
- Référence CVE CVE-2018-7849
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7849
- Référence CVE CVE-2018-7843
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7843
- Référence CVE CVE-2018-7848
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7848
- Référence CVE CVE-2018-7842
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7842
- Référence CVE CVE-2018-7847
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7847
- Référence CVE CVE-2018-7850
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7850
- Référence CVE CVE-2018-7845
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7845
- Référence CVE CVE-2018-7853
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7853
- Référence CVE CVE-2018-7854
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7854
- Référence CVE CVE-2018-7856
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7856
- Référence CVE CVE-2018-7857
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7857
- Référence CVE CVE-2019-6806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6806
- Référence CVE CVE-2019-6807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6807
- Référence CVE CVE-2019-6808
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6808
- Référence CVE CVE-2018-7844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7844
- Référence CVE CVE-2017-6028
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6028
- Référence CVE CVE-2019-6819
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6819

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-312/

AVIS CERTFR - 2019 - AVI - 411

23 août 2019
actualite

Objet : Vulnérabilité dans Palo Alto TwistlockRéférence : CERTFR-2019-AVI-411Risque(s)- Élévation de privilèges - Injection de code indirecte à dis... Lire la suite[+]

AVIS CERTFR - 2019 - AVI - 410

22 août 2019
actualite

Objet : Multiples vulnérabilités dans les produits CiscoRéférence : CERTFR-2019-AVI-410Risque(s) - Exécution de code arbitraire à distance - Déni d... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC oiv
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2019-AVI-312