Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 1093

AVIS CERTFR - 2022 - AVI - 1093

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2022-AVI-1093

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- APC Easy UPS Online Monitoring versions antérieures à 2.5-GA-01-22320
- SAITEL DR RTU Baseline 11.06.x antérieures à 1.06.15
- EcoStruxure Power Commission versions antérieures à 2.26
- Modicon M580 CPU Safety (BMEP58*S et BMEH58*S) toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-281-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-281-02_Modicon_Controllers.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-04_Modicon_PAC_Controllers_PLC_Simulator_Control_Expert_Process_Expert_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-01_EcoStruxure_Control_Expert_Modicon580_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-04-Modicon_Controllers_Ethernet_Modules_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-03_EcoStruxure_Power_Commission_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-02_SAITEL_DR_RTU_Security_Notification.pdf
- Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01-APC_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf
- Référence CVE CVE-2022-42970
https://www.cve.org/CVERecord?id=CVE-2022-42970
- Référence CVE CVE-2022-42971
https://www.cve.org/CVERecord?id=CVE-2022-42971
- Référence CVE CVE-2022-42972
https://www.cve.org/CVERecord?id=CVE-2022-42972
- Référence CVE CVE-2022-42973
https://www.cve.org/CVERecord?id=CVE-2022-42973
- Référence CVE CVE-2020-6996
https://www.cve.org/CVERecord?id=CVE-2020-6996
- Référence CVE CVE-2022-4062
https://www.cve.org/CVERecord?id=CVE-2022-4062
- Référence CVE CVE-2021-22786
https://www.cve.org/CVERecord?id=CVE-2021-22786
- Référence CVE CVE-2022-37301
https://www.cve.org/CVERecord?id=CVE-2022-37301
- Référence CVE CVE-2022-37300
https://www.cve.org/CVERecord?id=CVE-2022-37300
- Référence CVE CVE-2020-35198
https://www.cve.org/CVERecord?id=CVE-2020-35198
- Référence CVE CVE-2020-28895
https://www.cve.org/CVERecord?id=CVE-2020-28895
- Référence CVE CVE-2021-22789
https://www.cve.org/CVERecord?id=CVE-2021-22789
- Référence CVE CVE-2021-22790
https://www.cve.org/CVERecord?id=CVE-2021-22790
- Référence CVE CVE-2021-22791
https://www.cve.org/CVERecord?id=CVE-2021-22791
- Référence CVE CVE-2021-22792
https://www.cve.org/CVERecord?id=CVE-2021-22792
- Référence CVE CVE-2021-22779
https://www.cve.org/CVERecord?id=CVE-2021-22779
- Référence CVE CVE-2019-6841
https://www.cve.org/CVERecord?id=CVE-2019-6841
- Référence CVE CVE-2019-6842
https://www.cve.org/CVERecord?id=CVE-2019-6842
- Référence CVE CVE-2019-6843
https://www.cve.org/CVERecord?id=CVE-2019-6843
- Référence CVE CVE-2019-6844
https://www.cve.org/CVERecord?id=CVE-2019-6844
- Référence CVE CVE-2019-6846
https://www.cve.org/CVERecord?id=CVE-2019-6846
- Référence CVE CVE-2019-6847
https://www.cve.org/CVERecord?id=CVE-2019-6847
- Référence CVE CVE-2018-7240
https://www.cve.org/CVERecord?id=CVE-2018-7240
- Référence CVE CVE-2018-7241
https://www.cve.org/CVERecord?id=CVE-2018-7241
- Référence CVE CVE-2018-7242
https://www.cve.org/CVERecord?id=CVE-2018-7242

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1093/

AVIS CERTFR - 2023 - AVI - 0063

26 janvier 2023
actualite

Objet : Vulnérabilité dans GrafanaRéférence : CERTFR-2023-AVI-0063Risque(s)- Élévation de privilègesSystèmes affectés - Grafana versions 9.3.x anté... Lire la suite[+]

AVIS CERTFR - 2023 - AVI - 0062

26 janvier 2023
actualite

Objet : Vulnérabilité dans Xen libxlRéférence : CERTFR-2023-AVI-0062Risque(s)- Déni de service à distanceSystèmes affectés- Xen versions 4.17.x san... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-1093