Introduction
Aller au contenu principal [touche de raccourci S] : AVIS CERTFR - 2022 - AVI - 646
Aller au menu de navigation
Aller au moteur de recherche
Aller a la sélection de langue

Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 646

AVIS CERTFR - 2022 - AVI - 646

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2022-AVI-646

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures : L'éditeur ne propose pas de correctif, se référer aux mesures de contournement
- X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.0.1
- EcoStruxure Control Expert (incluant le produit Unity Pro) versions antérieures à 15.1 HF001
- EcoStruxure Process Expert (incluant le produit HDCS) versions antérieures à 2021
- SCADAPack RemoteConnect pour x70 versions antérieures à R2.7.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules+_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2021-222-02 mis à jour le 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf
- Bulletin de sécurité Schneider Electric SEVD-2021-257-01 mis à jour le 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf
- Référence CVE CVE-2022-34759
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34759
- Référence CVE CVE-2022-34760
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34760
- Référence CVE CVE-2022-34761
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34761
- Référence CVE CVE-2022-34762
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34762
- Référence CVE CVE-2022-34763
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34763
- Référence CVE CVE-2022-34764
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34764
- Référence CVE CVE-2022-34765
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34765
- Référence CVE CVE-2021-21810
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21810
- Référence CVE CVE-2021-21825
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21825
- Référence CVE CVE-2021-21811
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21811
- Référence CVE CVE-2021-21826
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21826
- Référence CVE CVE-2021-21812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21812
- Référence CVE CVE-2021-21827
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21827
- Référence CVE CVE-2021-21813
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21813
- Référence CVE CVE-2021-21828
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21828
- Référence CVE CVE-2021-21814
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21814
- Référence CVE CVE-2021-21829
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21829
- Référence CVE CVE-2021-21815
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21815
- Référence CVE CVE-2021-21830
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21830
- Référence CVE CVE-2022-26507
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26507
- Référence CVE CVE-2021-22797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22797

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-646/

AVIS CERTFR - 2022 - AVI - 713

08 août 2022

Objet : Multiples vulnérabilités dans Microsoft EdgeRéférence : CERTFR-2022-AVI-713Risque(s) - Exécution de code arbitraire à distance - Contournem... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 712

08 août 2022

Objet : Multiples vulnérabilités dans IBM QRadar SIEMRéférence : CERTFR-2022-AVI-712Risque(s) - Exécution de code arbitraire à distance- Contournem... Lire la suite[+]

Agence Monégasque de Sécurité Numérique
24 rue du Gabian
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93

Voir sur le plan

Demande d'autorisation loi n°1.383

Article 28-9

Textes

Conseils élémentaires

//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-646

Le Gouvernement sur
les réseaux sociaux :

Portail du gouvernement Princier

Mentions légales
Liens utiles
Plan du site
Tous droits réservés - Monaco 2022