Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2021 - AVI - 622

AVIS CERT

CERT-FR

Publié le 12 août 2021 à 18h57

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2021-AVI-622

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité

Systèmes affectés

- Vijeo Designer versions antérieures à V6.2 SP11
-
Vijeo Designer Basic versions antérieures à V1.2
- EcoStruxure Machine Expert versions antérieures à V2.0
- EcoStruxure Control Expert versions antérieures à V15.0 SP1 (suivre la procédure de remédiation décrite dans le bulletin SEVD-2021-222-02)
- EcoStruxure Process Expert toutes versions (inclus HDCS) et SCADAPack RemoteConnect pour x70 (suivre la procédure de contournement décrite dans le bulletin SEVD-2021-222-02)
-
Pro-face GP-Pro EX versions antérieures à V4.09.300
- Modicon et PLC Simulator (suivre la procédure de contournement décrite dans le bulletin SEVD-2021-222-04)
-
AccuSine PCS+ / PFV+ versions antérieures à V1.6.7
-
AccuSine PCSn versions antérieures à V2.2.4
- Programmable Automation Controller (PacDrive) M versions antérieures à 3 (suivre la procédure de contournement décrite dans le bulletin SEVD-2021-222-06)
- SHAIIS-MT-111, SHASU-MT-107, SHFK-MT et SHFK-MT-104 sans le dernier correctif pour Windows

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2021-222-01 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-01

- Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-02

- Bulletin de sécurité Schneider Electric SEVD-2021-222-03 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-03

- Bulletin de sécurité Schneider Electric SEVD-2021-222-04 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-04

- Bulletin de sécurité Schneider Electric SEVD-2021-222-05 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-05

- Bulletin de sécurité Schneider Electric SEVD-2021-222-06 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-06

- Bulletin de sécurité Schneider Electric SEVD-2021-222-07 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-07

- Bulletin de sécurité Schneider Electric SEVD-2021-222-08 du 10 août 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-08

- Référence CVE CVE-2021-22704

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22704

- Référence CVE CVE-2021-21810

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21810

- Référence CVE CVE-2021-21811

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21811

- Référence CVE CVE-2021-21812

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21812

- Référence CVE CVE-2021-21813

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21813

- Référence CVE CVE-2021-21814

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21814

- Référence CVE CVE-2021-21815

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21815

- Référence CVE CVE-2021-21825

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21825

- Référence CVE CVE-2021-21826

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21826

- Référence CVE CVE-2021-21827

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21827

- Référence CVE CVE-2021-21828

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21828

- Référence CVE CVE-2021-21829

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21829

- Référence CVE CVE-2021-21830

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21830

- Référence CVE CVE-2021-22775

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22775

- Référence CVE CVE-2021-22789

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22789

- Référence CVE CVE-2021-22790

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22790

- Référence CVE CVE-2021-22791

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22791

- Référence CVE CVE-2021-22792

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22792

- Référence CVE CVE-2021-22793

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22793

- Référence CVE CVE-2021-30186

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30186

- Référence CVE CVE-2021-30188

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30188

- Référence CVE CVE-2021-30195

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30195

- Référence CVE CVE-2021-34527

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527

- Référence CVE CVE-2021-1675

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1675

- Référence CVE CVE-2021-31166

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31166

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-622/