Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 517

AVIS CERTFR - 2021 - AVI - 517

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2021-AVI-517

Risque(s)

- Exécution de code arbitraire
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- EcoStruxure Control Expert toutes versions (versions Unity Pro inclus) antérieures 15.0 SP1
- EcoStruxure Control Expert version antérieures à V15.0 SP1 sans le dernier correctif
- EcoStruxure Process Expert toutes versions (versions EcoStruxure Hybrid DCS inclus)
- SCADAPack RemoteConnect for x70 toutes versions
- Modicon M580 CPU (part numbers BMEP* et BMEH*) toutes versions
- Modicon M340 CPU (part numbers BMXP34*) toutes versions
- SoSafe Configurable versions antérieures à 1.8.1
- C-Bus Toolkit versions antérieures à 1.15.9
- Easergy T300 avec un microgiciel (firmware) en versions antérieures à 2.8
- Easergy T200 (Modbus) versions antérieures à SC2-04MOD-07000103
- Easergy T200 (IEC104) versions antérieures à SC2-04IEC-07000103
- Easergy T200 (DNP3) versions antérieures à SC2-04DNP-07000103
- EVlink CityEVC1S22P4 / EVC1S7P4 versions antérieures à R8 V3.4.0.1
- EVlink ParkingEVW2 / EVF2 / EV.2 versions antérieures à R8 V3.4.0.1
- EVlink Smart WallboxEVB1A versions antérieures à R8 V3.4.0.1

Note : Actuellement, aucun correctif n'est proposé pour les vulnérabilités dans les produits EcoStruxure Process Expert, Modicon M580, Modicon M340 et SCADAPack. Cependant des mesures de contournement sont proposées par l'éditeur pour les produits Modicon M580 et M340 afin de réduire le risque et l'impact d'exploitation de la CVE-2021-22779.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un dénis de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2021-194-02 du 13 juillet 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-02  
- Bulletin de sécurité Schneider SEVD-2021-194-03 du 13 juillet 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-03  
- Bulletin de sécurité Schneider SEVD-2021-194-04 du 13 juillet 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-04  
- Bulletin de sécurité Schneider SEVD-2021-194-05 du 13 juillet 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-05  
- Bulletin de sécurité Schneider SEVD-2021-194-06 du 13 juillet 2021
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2021-194-06_EVlink_City_Parking_SmartWallbox_Charging_Stations_Security_Notification.pdf&p_Doc_Ref=SEVD-2021-194-06  
- Bulletin de sécurité Schneider SEVD-2021-194-01 du 13 juillet 2021
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340.pdf&p_Doc_Ref=SEVD-2021-194-01  
- Référence CVE CVE-2021-22778
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22778  
- Référence CVE CVE-2021-22779
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22779  
- Référence CVE CVE-2021-22780
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22780  
- Référence CVE CVE-2021-22781
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22781  
- Référence CVE CVE-2021-22782
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22782  
- Référence CVE CVE-2020-12525
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12525  
- Référence CVE CVE-2021-22769
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22769  
- Référence CVE CVE-2021-22770
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22770  
- Référence CVE CVE-2021-22771
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22771  
- Référence CVE CVE-2021-22777
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22777  
- Référence CVE CVE-2021-22784
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22784  
- Référence CVE CVE-2021-22772
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22772  
- Référence CVE CVE-2021-22706
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22706  
- Référence CVE CVE-2021-22707
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22707  
- Référence CVE CVE-2021-22708
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22708  
- Référence CVE CVE-2021-22721
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22721  
- Référence CVE CVE-2021-22722
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22722  
- Référence CVE CVE-2021-22723
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22723  
- Référence CVE CVE-2021-22726
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22726  
- Référence CVE CVE-2021-22727
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22727  
- Référence CVE CVE-2021-22728
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22728  
- Référence CVE CVE-2021-22729
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22729  
- Référence CVE CVE-2021-22730
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22730  
- Référence CVE CVE-2021-22773
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22773  
- Référence CVE CVE-2021-22774
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22774  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-517/  

 

 

AVIS CERTFR - 2021 - AVI - 583

29 juillet 2021
actualite

Objet : Vulnérabilité dans IBM Db2Référence : CERTFR-2021-AVI-583Risque(s)- Exécution de code arbitraireSystèmes affectés - IBM Db2 versions 9.7 an... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 582

29 juillet 2021
actualite

Objet : Multiples vulnérabilités dans les produits Trend Micro Référence : CERTFR-2021-AVI-582Risque(s) - Contournement de la politique de sécurité... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-517