Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2021 - AVI - 370

AVIS CERT

CERT-FR

Publié le 12 mai 2021 à 19h56

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2021-AVI-370

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité

Systèmes affectés

-
Modicon Managed Switch MCSESM et MCSESP versions antérieures à 8.22
- Harmony STO, STU, GTO, GTU, GTUX, KG configuré par Vijeo Designer versions antérieures à 6.2 SP11
- Harmony HMISCU configuré par EcoStruxure Machine Expert versions antérieures à 2.0
-
Triconex modèle 3009 MP versions Tricon antérieures à 11.8.0 (build 753)
-
TCM 4351B versions Tricon antérieures à 11.5.1 ou 11.7.1 (build 638)
- homeLYnk versions antérieures à 2.61 (ne corrige pas toutes les vulnérabilités)
- spaceLYnk versions antérieures à 2.61 (ne corrige pas toutes les vulnérabilités)
- EcoStruxure Machine Expert versions antérieures à 2.0
- micrologiciel pour Modicon M241/M251 versions antérieures à 5.1.9.14
- micrologiciel pour Modicon M218/M241/M251/M262, LMC PacDrive Eco/Pro/Pro2, HMISCU Logic Controllers sans le dernier correctif
- Geo SCADA Expert 2020 version April 2021 (83.7787.1)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2021-130-01 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-01

- Bulletin de sécurité Schneider SEVD-2021-130-02 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-02

- Bulletin de sécurité Schneider SEVD-2021-130-03 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-03

- Bulletin de sécurité Schneider SEVD-2021-130-04 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-04

- Bulletin de sécurité Schneider SEVD-2021-130-06 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-06

- Bulletin de sécurité Schneider SEVD-2021-130-05 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-05

- Bulletin de sécurité Schneider SEVD-2021-130-07 du 11 mai 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-07

- Référence CVE CVE-2021-22731

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22731

- Référence CVE CVE-2021-22705

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22705

- Référence CVE CVE-2021-22742

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22742

- Référence CVE CVE-2021-22743

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22743

- Référence CVE CVE-2021-22744

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22744

- Référence CVE CVE-2021-22745

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22745

- Référence CVE CVE-2021-22746

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22746

- Référence CVE CVE-2021-22747

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22747

- Référence CVE CVE-2021-22732

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22732

- Référence CVE CVE-2021-22734

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22734

- Référence CVE CVE-2021-22735

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22735

- Référence CVE CVE-2021-22736

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22736

- Référence CVE CVE-2021-22739

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22739

- Référence CVE CVE-2021-22740

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22740

- Référence CVE CVE-2021-22733

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22733

- Référence CVE CVE-2021-22737

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22737

- Référence CVE CVE-2021-22738

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22738

- Référence CVE CVE-2021-22699

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22699

- Référence CVE CVE-2020-10245

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10245

- Référence CVE CVE-2020-6081

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6081

- Référence CVE CVE-2019-13538

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13538

- Référence CVE CVE-2019-9008

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9008

- Référence CVE CVE-2019-9009

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9009

- Référence CVE CVE-2020-7052

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7052

- Référence CVE CVE-2021-22741

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22741

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-370/