Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 628

AVIS CERTFR - 2022 - AVI - 628

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2022-AVI-628

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- SCADAPack RemoteConnect for x70 versions antérieures à R2.7.3
- IGSS Data Server versions antérieures à 15.0.0.22074
- Micrologiciels Smart-UPS SCL, SRT, SRC, & XU Series versions antérieures à 15.0
- EcoStruxure Machine Expert versions antérieures à 2.0.3
- Micrologiciels Easergy P5 versions antérieures à 01.401.102
- Acti9 PowerTag Link C (A9XELC10-A) versions antérieures à 2.14.0
- Acti9 PowerTag Link C (A9XELC10-B) versions antérieures à 2.14.0
- SpaceLogic C-Bus Home Controller (5200WHC2), C-Bus Wiser Homer Controller MK2 versions antérieures à 4.14.0 (PICED_V4.14.0 Programming Interface for C-Bus Embedded Devices version V4.14.0)
- OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures
- X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.01

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2021-257-01 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2021-194-01 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_V4.0.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-102-01 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-067-02 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-067-02_APC-Smart-UPS_Security_Notification_V4.0.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-193-04 du 12 juillet 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-04_Easergy_P5_Security_Notification.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-193-03 du 12 juillet 2022 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-03_Acti9_PowerTag_Link_C_Security_Notification.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-193-02 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf  
- Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules+_Security_Notification.pdf  
- Référence CVE CVE-2021-22797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22797  
- Référence CVE CVE-2021-22779
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22779  
- Référence CVE CVE-2021-22781
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22781  
- Référence CVE CVE-2021-22782
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22782  
- Référence CVE CVE-2021-22778
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22778  
- Référence CVE CVE-2020-12525
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12525  
- Référence CVE CVE-2021-22780
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22780  
- Référence CVE CVE-2021-21810
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21810  
- Référence CVE CVE-2021-21825
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21825  
- Référence CVE CVE-2021-21811
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21811  
- Référence CVE CVE-2021-21826
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21826  
- Référence CVE CVE-2021-21812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21812  
- Référence CVE CVE-2021-21827
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21827  
- Référence CVE CVE-2021-21813
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21813  
- Référence CVE CVE-2021-21828
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21828  
- Référence CVE CVE-2021-21814
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21814  
- Référence CVE CVE-2021-21829
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21829  
- Référence CVE CVE-2021-21815
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21815  
- Référence CVE CVE-2021-21830
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21830  
- Référence CVE CVE-2022-26507
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26507  
- Référence CVE CVE-2022-2329
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2329  
- Référence CVE CVE-2022-24324
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24324  
- Référence CVE CVE-2022-0715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0715  
- Référence CVE CVE-2022-22805
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22805  
- Référence CVE CVE-2022-22806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22806  
- Référence CVE CVE-2021-33485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33485  
- Référence CVE CVE-2021-29241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29241  
- Référence CVE CVE-2021-29240
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29240  
- Référence CVE CVE-2021-21863
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21863  
- Référence CVE CVE-2021-21864
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21864  
- Référence CVE CVE-2021-21865
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21865  
- Référence CVE CVE-2021-21866
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21866  
- Référence CVE CVE-2021-21867
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21867  
- Référence CVE CVE-2021-21868
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21868  
- Référence CVE CVE-2021-21869
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21869  
- Référence CVE CVE-2022-34756
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34756  
- Référence CVE CVE-2022-34757
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34757  
- Référence CVE CVE-2022-34758
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34758  
- Référence CVE CVE-2022-34754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34754  
- Référence CVE CVE-2022-34753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34753  
- Référence CVE CVE-2022-34759
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34759  
- Référence CVE CVE-2022-34760
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34760  
- Référence CVE CVE-2022-34761
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34761  
- Référence CVE CVE-2022-34762
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34762  
- Référence CVE CVE-2022-34763
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34763  
- Référence CVE CVE-2022-34764
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34764  
- Référence CVE CVE-2022-34765
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34765  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-628/  

 

AVIS CERTFR - 2022 - AVI - 713

08 août 2022
actualite

Objet : Multiples vulnérabilités dans Microsoft EdgeRéférence : CERTFR-2022-AVI-713Risque(s) - Exécution de code arbitraire à distance - Contournem... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 712

08 août 2022
actualite

Objet : Multiples vulnérabilités dans IBM QRadar SIEMRéférence : CERTFR-2022-AVI-712Risque(s) - Exécution de code arbitraire à distance- Contournem... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-628