Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 853

AVIS CERTFR - 2021 - AVI - 853

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2021-AVI-853

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- SCADAPack 312E, 313E, 314E, 330E, 333E, 334E, 337E, 350E et 357E RTUs avec le firmware V8.18.1 et antérieures
- Schneider Electric Software Update, V2.3.0 à V2.5.1
- Network Management Card 2 (NMC2)
- Network Management Card 3 (NMC3)
- NMC embedded devices
- EcoStruxure Process Expert versions antérieures à V2021
- TelevisAir V3.0 Dongle BTLE (part number ADBT42* et antérieures)
- Eurotherm by Schneider Electric GUIcon Version 2.0 (Build 683.003) et antérieures
- BMECRA31210, BMXCRA31200, BMXCRA31210, 140CRA31200, 140CRA31908 toutes versions
- BMXNOE0100, BMXNOE0110, BMXNGD0100, BMXNOC0401 toutes versions
- BMENOC0321, BMENOC0301, BMENOC0311, BMENOS0300 toutes versions
- BMENOP0300, BMXNOR0200 toutes versions
- BMXNOM0200 toutes versions
- Easy Harmony GXU (HMIGXU Series) et Easy Harmony ET6 (HMIET Series) Vijeo Designer Basic V1.2 family et antérieures
- E+PLC400 toutes versions
- EPC2000 toutes versions
- EPack toutes versions
- HMISCU,HMIGTU, HMIG2U, HMIG3U, HMIG3X, HMIGTO Series Vijeo Designer (V6.2 SP11) family et antérieures
- HMISTO Series HMISTU/S5T Series toutes versions
- Modicon LMC078 toutes versions
- Modicon M262 Logic Controllers firmware version 5.1.5.35 et antérieures
- Modicon M241/M251 Logic Controllers firmware version 5.1.9.21 et antérieures
- Modicon M580 CPU (BMEP* and BMEH*), Modicon M340 CPU (BMXP34*), BMXNOM0200 toutes versions
- Momentum MDI (171CBU*), MC80 (BMKC8*), HART (BMEAH*) toutes versions
- Momentum ENT (170ENT11*) toutes versions
- nanodac toutes versions
- Pro-face GP4000 Series, LT4000M Series, GP4000H Series GP-Pro EX V4.09.300 et antérieures
- Pro-face GP4100 Series, GP4000E Series, GP4000M Series toutes versions
- Pro-face SP-5B00, SP-5B10, SP-5B90, ST6000 Series (GP-ProEX model), ET6000 Series GP-Pro EX V4.09.300 et antérieures
- SCD6000 Industrial RTU Version antérieures à SCD6000 is SY-1101211_Mand
- Tricon Communication Modules versions antérieures à 11.8
- TCSEGPA23F14F, BMECXM0100 toutes versions
- T2750 PAC, toutes versions
- versadac, toutes versions
- 6100A, 6180A, 6100XIO, 6180XIO, AeroDAQ toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2021-313-01 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-01
- Bulletin de sécurité Schneider SEVD-2021-313-02 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-02
- Bulletin de sécurité Schneider SEVD-2021-313-03 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03
- Bulletin de sécurité Schneider SEVD-2021-313-04 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-04
- Bulletin de sécurité Schneider SEVD-2021-313-05 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05
- Bulletin de sécurité Schneider SEVD-2021-313-06 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-06
- Bulletin de sécurité Schneider SEVD-2021-313-07 du 9 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-07
- Référence CVE CVE-2021-22816
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22816
- Référence CVE CVE-2021-22799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22799
- Référence CVE CVE-2021-22810
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22810
- Référence CVE CVE-2021-22811
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22811
- Référence CVE CVE-2021-22812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22812
- Référence CVE CVE-2021-22813
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22813
- Référence CVE CVE-2021-22814
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22814
- Référence CVE CVE-2021-22815
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22815
- Référence CVE CVE-2021-34527
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527
- Référence CVE CVE-2021-1675
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1675
- Référence CVE CVE-2020-28895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28895
- Référence CVE CVE-2020-35198
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35198
- Référence CVE CVE-2021-22807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22807
- Référence CVE CVE-2021-22808
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22808
- Référence CVE CVE-2021-22809
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22809

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-853/

AVIS CERTFR - 2021 - AVI - 916

03 décembre 2021
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2021-AVI-916Risque(s) - Non spécifié par l'éditeur - Déni de service... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 915

03 décembre 2021
actualite

Objet : Vulnérabilité dans Red HatRéférence : CERTFR-2021-AVI-915Risque(s)- Exécution de code arbitraire à distanceSystèmes affectés - Red Hat Ente... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-853