CERTFR-2024-AVI-0845_Multiples vulnerabilites dans les produits Schneider Electric

Objet : Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2024-AVI-0845

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
- Élévation de privilèges

Système(s) affecté(s)

- Easergy Studio versions antérieures à 9.3.4
- EcoStruxure EV Charging Expert versions antérieures à V6.0.0
- EcoStruxure IT Data Center Expert versions antérieures à 8.2
- EcoStruxure Power Monitoring Expert (PME) versions 2022 sans le dernier correctif de sécurité
- Harmony iPC – HMIBSC IIoT Edge Box Core (cette famille de produits est en fin de vie et ne recevra plus de correctifs de sécurité)
- System Monitor application dans les séries Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP toutes versions, aucun correctif n'est disponible, l'éditeur recommande de désinstaller le composant
- System Monitor application dans les séries Pro-face Industrial PC PS5000 toutes versions, aucun correctif n'est disponible, l'éditeur recommande de désinstaller le composant
- Zelio Soft 2 versions antérieures à 5.4.2.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité Schneider Electric SEVD-2024-282-01 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-01.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-02 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-02.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-03 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-03.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-05 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-05.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-06 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-06.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-07 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-07&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-07.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-08 du 08 octobre 2024
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-08&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-08.pdf
- Référence CVE CVE-2024-8422
https://www.cve.org/CVERecord?id=CVE-2024-8422
- Référence CVE CVE-2024-8518
https://www.cve.org/CVERecord?id=CVE-2024-8518
- Référence CVE CVE-2024-8530
https://www.cve.org/CVERecord?id=CVE-2024-8530
- Référence CVE CVE-2024-8531
https://www.cve.org/CVERecord?id=CVE-2024-8531
- Référence CVE CVE-2024-8884
https://www.cve.org/CVERecord?id=CVE-2024-8884
- Référence CVE CVE-2024-9002
https://www.cve.org/CVERecord?id=CVE-2024-9002
- Référence CVE CVE-2024-9005
https://www.cve.org/CVERecord?id=CVE-2024-9005

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0845/