Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 017

AVIS CERTFR - 2022 - AVI - 017

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2022-AVI-017

Risque(s)

- Exécution de code arbitraire
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Modicon M340 Quantum et Premium Quantum CPUs, vérifier l'avis SEVD-2022-011-01 pour identifier les autres systèmes Modicon vulnérables et appliquer les mesures de contournement suggérées par l'éditeur
- Easergy T300, versions antérieures à 2.7.1
- Easergy P5, versions antérieures à 01.401.101, se référer aux informations fournies par l'éditeur pour appliquer les mesures de contournement
- Easergy P3, versions antérieures à 30.205, se référer aux informations fournies par l'éditeur pour appliquer les mesures de contournement
- ConneXium Tofino Firewall TCSEFEA23F3F22, versions antérieures à 03.23
- ConneXium Tofino OPC-LSM TCSEFM0000, versions antérieures à 03.23
- ConneXium Tofino Firewall TCSEFEA23F3F20 et 21, toutes versions. Ces produits ne sont plus maintenus par l'éditeur qui incite fortement à mettre à jour vers la gamme TCSEFA23F3F22
- CODESYS V3, vérifier l'avis SEVD-2022-011-06 pour identifier les périphériques utilisant ce système d'exploitation et appliquer les mesures de contournement suggérées par l'éditeur
- EcoStruxure Power Monitoring Expert 2020, versions antérieures à 2020 CU3 sans le composant Floating License Manager 2.7
- EcoStruxure Power Monitoring Expert 9.0, toutes versions. Ces produits ne sont plus maintenus par l'éditeur qui incite fortement à mettre à jour vers la gamme Power Monitoring Expert 2021

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2022-011-01 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01
- Bulletin de sécurité Schneider SEVD-2022-011-02 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-02
- Bulletin de sécurité Schneider SEVD-2022-011-03 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03
- Bulletin de sécurité Schneider SEVD-2022-011-04 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-04
- Bulletin de sécurité Schneider SEVD-2022-011-05 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-05
- Bulletin de sécurité Schneider SEVD-2022-011-06 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-06
- Bulletin de sécurité Schneider SEVD-2022-011-07 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07
- Référence CVE CVE-2022-22724
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22724
- Référence CVE CVE-2020-7534
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7534
- Référence CVE CVE-2020-8597
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597
- Référence CVE CVE-2022-22722
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22722
- Référence CVE CVE-2022-22723
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22723
- Référence CVE CVE-2022-22725
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22725
- Référence CVE CVE-2021-30061
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30061
- Référence CVE CVE-2021-30064
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30064
- Référence CVE CVE-2021-30065
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30065
- Référence CVE CVE-2021-30066
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30066
- Référence CVE CVE-2021-30062
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30062
- Référence CVE CVE-2021-30063
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30063
- Référence CVE CVE-2021-33485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33485
- Référence CVE CVE-2021-29241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29241
- Référence CVE CVE-2021-29240
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29240
- Référence CVE CVE-2021-21863
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21863
- Référence CVE CVE-2021-21864
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21864
- Référence CVE CVE-2021-21865
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21865
- Référence CVE CVE-2021-21866
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21866
- Référence CVE CVE-2021-21867
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21867
- Référence CVE CVE-2021-21868
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21868
- Référence CVE CVE-2021-21869
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21869
- Référence CVE CVE-2022-22726
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22726
- Référence CVE CVE-2019-8963
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8963
- Référence CVE CVE-2022-22727
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22727
- Référence CVE CVE-2022-22804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22804

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-017/

AVIS CERTFR - 2022 - AVI - 079

25 janvier 2022
actualite

Objet : Vulnérabilité dans strongSwanRéférence : CERTFR-2022-AVI-079Risque(s) - Déni de service à distance - Contournement de la politique de sécur... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 078

25 janvier 2022
actualite

Objet : Multiples vulnérabilités dans Foxit PDF Editor et Foxit PDF Reader versions MacOSRéférence : CERTFR-2022-AVI-078Risque(s) - Exécution de co... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-017