Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2021 - AVI - 772

AVIS CERT

CERT-FR

Publié le 12 octobre 2021 à 19h46

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2021-AVI-772

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- spaceLYnk versions antérieures à V2.6.2
- Wiser for KNX versions antérieures à V2.6.2
- fellerLYnk versions antérieures à V2.6.2
- ConneXium Network Manager
- IGSS Data Collector (dc.exe) versions antérieures à V15.0.0.21244
- Modicon M218 logic controller versions antérieures à 5.1.0.8
- Conext Advisor 2 Cloud
- Conext Advisor 2 Gateway
- Conext Control V2 Gateway
- micrologiciel TM5CSLC100FS version antérieures v2.57
- micrologiciel TM5CSLC200FS version antérieures v2.57
- micrologiciel TM5NS31 versions antérieures à 2.79
- micrologiciel TM5NEIP1 versions antérieures à 3.12

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2021-285-01 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-01

- Bulletin de sécurité Schneider SEVD-2021-285-02 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-02

- Bulletin de sécurité Schneider SEVD-2021-285-03 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-03

- Bulletin de sécurité Schneider SEVD-2021-285-04 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-04

- Bulletin de sécurité Schneider SEVD-2021-285-05 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-05

- Bulletin de sécurité Schneider SEVD-2021-285-06 du 12 octobre 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-06

- Référence CVE CVE-2021-22806

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22806

- Référence CVE CVE-2021-22801

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22801

- Référence CVE CVE-2021-22802

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22802

- Référence CVE CVE-2021-22803

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22803

- Référence CVE CVE-2021-22804

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22804

- Référence CVE CVE-2021-22805

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22805

- Référence CVE CVE-2021-22800

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22800

- Référence CVE CVE-2019-11135

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11135

- Référence CVE CVE-2020-0601

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601

- Référence CVE CVE-2020-0609

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0609

- Référence CVE CVE-2020-0610

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0610

- Référence CVE CVE-2020-0796

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796

- Référence CVE CVE-2020-0938

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0938

- Référence CVE CVE-2020-1020

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1020

- Référence CVE CVE-2020-1350

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350

- Référence CVE CVE-2020-1472

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

- Référence CVE CVE-2019-0803

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0803

- Référence CVE CVE-2019-0685

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0685

- Référence CVE CVE-2019-0859

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0859

- Référence CVE CVE-2019-1040

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1040

- Référence CVE CVE-2020-13987

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13987

- Référence CVE CVE-2020-17438

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17438

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-772/