AVIS CERTFR - 2020 - AVI - 801

AVIS CERT
CERT-FR

Publié le 9 décembre 2020 à 07h52 - Mis à jour le 10 décembre 2020 à 11h29

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2020-AVI-801

Risque(s)

- Exécution de code arbitraire
- Déni de service à distance
- Atteinte à la confidentialité des données

Systèmes affectés

- EcoStruxure™ Control Expert
- Unity Pro (former name of EcoStruxure™ Control Expert)
- EcoStruxure Geo SCADA Expert 2019 versions antérieures à 81.7613.1
- EcoStruxure Geo SCADA Expert 2020 versions antérieures à 83.7613.1
- Modicon M340 CPU BMXP34* versions antérieures à V3.3
- Modicon M340 Ethernet Communication modules BMXNOC0401 versions antérieures à V2.10 (*)
- Modicon M340 Ethernet Communication modules BMXNOE0100 versions antérieures à V3.4
- Modicon M340 Ethernet Communication modules BMXNOE0110 versions antérieures à V6.6
- Modicon Premium processors with integrated Ethernet COPRO TSXP574634, TSXP575634, TSXP576634
- Modicon Quantum CPUs 140CPU65xxxxx versions antérieures à V6.1 (*)
- Modicon Quantum communication modules 140NOE771x1 versions antérieures à V7.3 (*)
- Modicon Quantum communication modules 140NOC78x00 versions antérieures à V1.74 (*)
- Modicon Quantum communication modules 140NOC77101 versions antérieures à V1.08
- Modicon Premium communication modules TSXETY4103 versions antérieures à V6.2 (*)
- Modicon Premium communication modules TSXETY5103 versions antérieures à V6.4 (*)
- Modicon Premium CPUs TSXP574634, TSXP575634, TSXP576634 versions antérieures à V6.1 (*)
- BMXNOE0100
- BMXNOE0110
- BMXNOR0200H
- BMXNOR200H
- Modicon M580 CPUs BMEx58xxxxx microgiciel versions antérieures à 3.20
- Modicon M258 versions antérieures à 5.0.4.11
- SoMachine/SoMachine Motion software

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données.

Solution

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données.

Documentation

Bulletin de sécurité Schneider SEVD-2020-343-01 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-01/ 
Bulletin de sécurité Schneider SEVD-2020-343-02 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-02/ 
Bulletin de sécurité Schneider SEVD-2020-343-03 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-03/ 
Bulletin de sécurité Schneider SEVD-2020-343-04 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-04/ 
Bulletin de sécurité Schneider SEVD-2020-343-05 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-05/ 
Bulletin de sécurité Schneider SEVD-2020-343-06 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-06/ 
Bulletin de sécurité Schneider SEVD-2020-343-07 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-07/ 
Bulletin de sécurité Schneider SEVD-2020-343-08 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-08/ 
Bulletin de sécurité Schneider SEVD-2020-343-09 du 06 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-343-09/ 

Référence CVE CVE-2020-7560
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7560 

Référence CVE CVE-2020-28219
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28219 

Référence CVE CVE-2020-7540
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7540 

Référence CVE CVE-2020-7535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7535 

Référence CVE CVE-2020-7549
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7549 

Référence CVE CVE-2020-7536
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7536 

Référence CVE CVE-2020-7537
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7537 

Référence CVE CVE-2020-7542
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7542 

Référence CVE CVE-2020-7543
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7543 

Référence CVE CVE-2020-28220
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28220 

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-801/