AVIS CERTFR - 2018 - AVI - 612

Objet: SCADA Vulnérabilité dans Schneider Electric Power Monitoring Expert et Energy Expert

Risque(s)

- Contournement de la politique de sécurité

Système(s) affecté(s)

- EcoStruxure Power Monitoring Expert (PME) version 8.2 (toutes éditions)
- EcoStruxure Energy Expert version 1.3 (anciennement Power Manager)
- EcoStruxure Power SCADA Operation (PSO) version 8.2 Advanced Reports et Dashboards Module
- EcoStruxure Power Monitoring Expert (PME) version 9.0
- EcoStruxure Energy Expert version 2.0
- EcoStruxure Power SCADA Operation (PSO) version 9.0 Advanced Reports et Dashboards Module

Résumé

Une vulnérabilité a été découverte dans Schneider Electric Power Monitoring Expert et Energy Expert. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2018-347-01 du 13 décembre 2018
https://www.schneider-electric.com/en/download/document/SEVD-2018-347-01/
- Référence CVE CVE-2018-7797

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7797

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-612/