Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - AVI - 209

AVIS CERTFR - 2020 - AVI - 209

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2020-AVI-209

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données

Systèmes affectés

- SoMachine Basic
- EcoStruxure Machine Expert – Basic
- Modicon M100 Logic Controller
- Modicon M200 Logic Controller
- Modicon M221 Logic Controller
- EcoStruxure Machine Expert
- SoMachine, SoMachine Motion
- Modicon M218 Logic Controller
- Modicon M241 Logic Controller
- Modicon M251 Logic Controller
- Modicon M258 Logic Controller
- Vijeo Designer Basic versions V1.1 HotFix 15 et antérieures
- Vijeo Designer versions V6.9 SP9 et antérieures
- TriStation TS1131 versions v4.0.x à v4.9.x antérieures à v4.9.1
- TriStation TS1131 versions v4.10.x antérieures à v4.10.1
- Tricon TCM Model 4351, 4352, 4351A/B et 4352A/B versions v10.x antérieures à v10.5.x
- Modicon M340
- Modicon Premium et Quantum

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-01_Modicon+M100_M200_M221_and_EcoStruxure%E2%84%A2_Machine+Expert_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-01
- Bulletin de sécurité Schneider Electric SEVD-2020-105-02 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-02_Modicon+M218_M241_M251_M258_M258_Logic_Controllers_SoMachine_SoMachine_Motion_EcoStruxure_Machine_Expert_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-02
- Bulletin de sécurité Schneider Electric SEVD-2020-105-03 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-03_Vijeo_Designer_and_Vijeo_Designer_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-03
- Bulletin de sécurité Schneider Electric SESB-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SESB-2020-105-01_Legacy_Triconex_Product_Vulnerabilities_Security_Bulletin.pdf&p_Doc_Ref=SESB-2020-105-01
- Bulletin de sécurité Schneider Electric SEVD-2019-316-02 du 12 novembre 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-316-02-Modicon_Controllers_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2019-316-02
- Référence CVE CVE-2020-7489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7489
- Référence CVE CVE-2020-7487
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7487
- Référence CVE CVE-2020-7488
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7488
- Référence CVE CVE-2020-7490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7490
- Référence CVE CVE-2020-7483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7483
- Référence CVE CVE-2020-7484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7484
- Référence CVE CVE-2020-7485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7485
- Référence CVE CVE-2020-7486
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7486
- Référence CVE CVE-2019-6852
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6852
- Référence CVE CVE-2019-6859
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6859

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-209/

AVIS CERTFR - 2020 - AVI - 327

29 mai 2020
actualite

Objet : Multiples vulnérabilités dans les produits VMwareRéférence : CERTFR-2020-AVI-327Risque(s) - Déni de service- Élévation de privilègesSystème... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 326

29 mai 2020
actualite

Objet : Multiples vulnérabilités dans le noyau Linux d’UbuntuRéférence : CERTFR-2020-AVI-326Risque(s) - Exécution de code arbitraire - Déni de serv... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-AVI-209