Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 328

AVIS CERTFR - 2022 - AVI - 328

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2022-AVI-328

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- IGSS Data Server versions antérieures à 15.0.0.22074
- Modicon M340 versions antérieures à 3.50
- BMXNOE0100 (H) toutes versions
- BMXNOE0110 (H) toutes versions
- BMXNOR0200H RTU toutes versions
- Easergy C5x (C52/C53) versions antérieures à 1.0.5
- Easergy P5 versions antérieures à 01.401.101
- EPC3000 versions antérieures à V5.20
- Easy Harmony ET6 (gamme HMIET) Vijeo Designer Basic versions antérieures à 1.2.1
- Easy Harmony GXU (gamme HMIGXU) Vijeo Designer Basic versions antérieures à 1.2.1
- Eurotherm E+PLC100 toutes versions
- Harmony/ Magelis, gammes HMIGTU, HMIGTUX et HMIGK versions antérieures à 6.2 SP11 Multi HotFix 4
- JACE-8000 versions antérieures à Niagara 4.10u1
- MiCOM C264 versions antérieures à B5.118, D1.92, D4.38, D5.25I et D6.18
- Modicon M241/M251 Logic Controllers versions antérieures à V5.1.9.34
- Modicon M262 Logic Controllers versions antérieures à V5.1.6.1
- Modicon M258/LMC058 Logic Controllers versions antérieures à 5.0.4.18
- Modicon Quantum CPU et Communication Modules toutes versions
- Modicon Premium CPU et Communication Modules toutes versions
- nanodac versions antérieures à 10.02
- PacDrive Eco/Pro/Pro2 Logic Controllers versions antérieures à V1.66.5.1
- PacDrive M toutes versions
- PowerLogic ION7400 versions antérieures à 3.1.0
- PowerLogic PM8000 versions antérieures à 3.1.0
- PowerLogic ION9000 versions antérieures à 3.1.0
- Pro-face SP-5B00, SP-5B10, SP-5B90, gamme ST6000 (modèle GP-ProEX), gamme ET6000 versions antérieures à V4.09.350
- SCD6000 Industrial RTU versions antérieures à SY-1101207, et N de SCD6000
- SAGE RTU CPU C3414 version antérieures à C3414-500-S02K5_P5 de SAGE RTU CPU3414
- BMECRA31210, BMXCRA31200, BMXCRA31210, 140CRA31200, 140CRA31908 toutes versions
- BMXNOE0100, BMXNOE0110, BMXNGD0100, BMXNOC0401 toutes versions
- BMENOC0321, BMENOC0301, BMENOC0311, BMENOS0300 toutes versions
- BMENOP0300, BMXNOR0200 toutes versions
- BMXNOM0200 toutes versions
- Easergy MiCOM P30 versions 660 à 674
- Easergy MiCOM P40 toutes versions
- EPC2000 toutes versions
- EPack toutes versions
- HMISCU Vijeo Designer versions V6.2SP11 et antérieures
- gammes HMISTO et HMISTU/S5T toutes versions
- Modicon LMC078 toutes versions
- CPU Modicon M580 (BMEP* et BMEH*), BMXNOM0200 toutes versions
- Momentum MDI (171CBU*), MC80 (BMKC8*), HART (BMEAH*),V1.50 toutes versions
- Momentum ENT (170ENT11*) toutes versions
- Gammes Pro-face GP4000, LT4000M et GP4000H toutes versions
- Gammes Pro-face GP4100, GP4000E et GP4000M toutes versions
- TCSEGPA23F14F, BMECXM0100 toutes versions
- Versadac toutes versions
- 6100A, 6180A, 6100XIO, 6180XIO, AeroDAQ toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2022-102-01 du 12 avril 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-01
- Bulletin de sécurité Schneider SEVD-2022-102-02 du 12 avril 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-02_Modicon_M340_Controller_and_Communication_Modules_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-02
- Bulletin de sécurité Schneider SEVD-2021-313-05 du 09 novembre 2021 mis à jour le 12 avril 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification_V6.0.pdf&p_Doc_Ref=SEVD-2021-313-05
- Référence CVE CVE-2022-24324
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24324
- Référence CVE CVE-2022-0222
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0222
- Référence CVE CVE-2020-35198
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35198
- Référence CVE CVE-2020-28895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28895
- Référence CVE CVE-2021-22156
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22156

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-328/

AVIS CERTFR - 2022 - AVI - 496

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de Red HatRéférence : CERTFR-2022-AVI-496Risque(s)- Exécution de code arbitraire à distanceSys... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 495

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de UbuntuRéférence : CERTFR-2022-AVI-495Risque(s) - Exécution de code arbitraire - Déni de ser... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-328