Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2019 - AVI - 384

AVIS CERT

CERT-FR

Publié le 13 août 2019 à 15h52

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2019-AVI-384

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Magelis HMIGTO series
- Magelis HMISTO series
- Magelis XBTGH series
- Magelis HMIGTU series
- Magelis HMIGTUX series
- Magelis HMISCU series
- Magelis HMISTU series
- Magelis XBTGT series
- Magelis XBTGC series
- Magelis HMIGXO series
- Magelis HMIGXU series
- BMXNOR0200H Ethernet / Serial RTU module
- TelevisGO versions produites avant le 15 juillet 2019 et utilisant une version de UltraVNC, 1.0.9.6.1 et antérieure, sans le correctif de sécurité TelevisGo_HotFix_20190715.exe
- Schneider Electric Software Update (SESU) SUT Service component versions antérieures à 2.3.1
- spaceLYnk versions antérieures à 2.4.0
- Wiser for KNX (anciennement homeLYnk) versions antérieures à 2.4.0
- Modicon M580 versions antérieures à V2.90
- Modicon M340 versions antérieures à V3.10
- Modicon Quantum
- Modicon Premium

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-01-Magelis_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-01

- Bulletin de sécurité Schneider Electric SEVD-2019-225-02 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-02-Modicon_M340_Controllers_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-02

- Bulletin de sécurité Schneider Electric SEVD-2019-225-03 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-03-Modicon-Ethernet+-Serial-RTU-Module-Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-03

- Bulletin de sécurité Schneider Electric SEVD-2019-225-05 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-05-TelevisGO_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-05

- Bulletin de sécurité Schneider Electric SEVD-2019-225-06 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-06-SESU_SUT_Service.pdf&p_Doc_Ref=SEVD-2019-225-06

- Bulletin de sécurité Schneider Electric SEVD-2019-225-07 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-07-spaceLYnk-homeLYnk.pdf&p_Doc_Ref=SEVD-2019-225-07

- Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 13 août 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-11-V2-Modicon-Controllers.pdf&p_Doc_Ref=SEVD-2019-134-11

- Référence CVE CVE-2018-7846

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7846

- Référence CVE CVE-2018-7849

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7849

- Référence CVE CVE-2018-7843

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7843

- Référence CVE CVE-2018-7848

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7848

- Référence CVE CVE-2018-7842

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7842

- Référence CVE CVE-2018-7847

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7847

- Référence CVE CVE-2018-7850

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7850

- Référence CVE CVE-2018-7845

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7845

- Référence CVE CVE-2018-7852

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7852

- Référence CVE CVE-2018-7853

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7853

- Référence CVE CVE-2018-7854

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7854

- Référence CVE CVE-2018-7855

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7855

- Référence CVE CVE-2018-7856

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7856

- Référence CVE CVE-2018-7857

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7857

- Référence CVE CVE-2019-68067

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-68067

- Référence CVE CVE-2019-68077

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-68077

- Référence CVE CVE-2019-6808

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6808

- Référence CVE CVE-2018-7844

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7844

- Référence CVE CVE-2019-6830

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6830

- Référence CVE CVE-2019-6828

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6828

- Référence CVE CVE-2019-6829

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6829

- Référence CVE CVE-2019-6809

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6809

- Référence CVE CVE-2019-6832

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6832

- Référence CVE CVE-2019-6834

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6834

- Référence CVE CVE-2019-8258

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8258

- Référence CVE CVE-2018-15361

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15361

- Référence CVE CVE-2019-8259

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8259

- Référence CVE CVE-2019-8260

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8260

- Référence CVE CVE-2019-8261

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8261

- Référence CVE CVE-2019-8262

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8262

- Référence CVE CVE-2019-8280

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8280

- Référence CVE CVE-2019-8263

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8263

- Référence CVE CVE-2019-8264

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8264

- Référence CVE CVE-2019-8265

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8265

- Référence CVE CVE-2019-8266

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8266

- Référence CVE CVE-2019-8267

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8267

- Référence CVE CVE-2019-8268

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8268

- Référence CVE CVE-2019-8269

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8269

- Référence CVE CVE-2019-8270

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8270

- Référence CVE CVE-2019-8271

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8271

- Référence CVE CVE-2019-8272

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8272

- Référence CVE CVE-2019-8273

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8273

- Référence CVE CVE-2019-8274

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8274

- Référence CVE CVE-2019-8275

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8275

- Référence CVE CVE-2019-8276

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8276

- Référence CVE CVE-2019-8277

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8277

- Référence CVE CVE-2019-6813

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6813

- Référence CVE CVE-2019-6831

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6831

- Référence CVE CVE-2019-6810

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6810

- Référence CVE CVE-2019-6833

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6833

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-384/