Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2022 - AVI - 717

AVIS CERT

CERT-FR

Publié le 9 août 2022 à 17h19

Objet : Multiples vulnérabilités dans les produits Schneider

Référence : CERTFR-2022-AVI-717

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- OPC UA Modicon Communication Module (BMENUA0100) versions antérieures à 2.01
- Modicon M580 CPU (BMEP* et BMEH*) versions antérieures à 4.01
- Modicon M340 CPU (BMXP34*) versions antérieures 3.50
- Eurotherm Data Reviewer3.0.2 software versions antérieures 4.0.0
- Modicon MC80 (BMKC80) toutes versions
- Modicon Momentum MDI (171CBU*) toutes versions
- Legacy Modicon Quantum toutes versions
- EcoStruxure Control Expert versions antérieures à 15.2
- EcoStruxure Process Expert versions antérieures à 2021

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider SEVD-2022-193-01 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules%20_Security_Notification_V2.0.pdf

- Bulletin de sécurité Schneider SEVD-2021-313-05 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification_V10.0.pdf

- Bulletin de sécurité Schneider SEVD-2021-222-04 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-04_Modicon_PAC_Controllers_PLC_Simulator_Control_Expert_Process_Expert_Security_Notification_V2.0.pdf

- Bulletin de sécurité Schneider SEVD-2021-194-01 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_Security_Notifcation_V4.0.pdf

- Bulletin de sécurité Schneider SEVD-2019-281-02 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-281-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-281-02_Modicon_Controllers_Security_Notification_V3.0.pdf

- Bulletin de sécurité Schneider SEVD-2018-081-01 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification_V3.0.pdf

- Bulletin de sécurité Schneider SESB-2021-347-01 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SESB-2021-347-01_Apache_Log4j_Log4Shell_Vulnerabilities_Security_Notification_V14.0.pdf

- Bulletin de sécurité Schneider SEVD-2022-221-04 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-04-Modicon_Controllers_Ethernet_Modules_Security_Notification.pdf

- Bulletin de sécurité Schneider SEVD-2022-221-03 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-03_EcoStruxure_Control_Expert_Security_Notification.pdf

- Bulletin de sécurité Schneider SEVD-2022-221-02 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification.pdf

- Bulletin de sécurité Schneider SEVD-2022-221-01 du 9 août 2022

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-01_EcoStruxure_Control_Expert_Modicon580_Security_Notification.pdf

- Référence CVE CVE-2022-34759

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34759

- Référence CVE CVE-2022-34760

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34760

- Référence CVE CVE-2022-34761

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34761

- Référence CVE CVE-2022-34762

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34762

- Référence CVE CVE-2022-34763

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34763

- Référence CVE CVE-2022-34764

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34764

- Référence CVE CVE-2022-34765

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34765

- Référence CVE CVE-2020-35198

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35198

- Référence CVE CVE-2020-28895

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28895

- Référence CVE CVE-2021-22789

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22789

- Référence CVE CVE-2021-22790

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22790

- Référence CVE CVE-2021-22791

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22791

- Référence CVE CVE-2021-22792

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22792

- Référence CVE CVE-2021-22778

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22778

- Référence CVE CVE-2020-12525

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12525

- Référence CVE CVE-2021-22780

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22780

- Référence CVE CVE-2021-22781

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22781

- Référence CVE CVE-2021-22782

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22782

- Référence CVE CVE-2019-6841

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6841

- Référence CVE CVE-2019-6842

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6842

- Référence CVE CVE-2019-6843

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6843

- Référence CVE CVE-2019-6844

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6844

- Référence CVE CVE-2019-6846

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6846

- Référence CVE CVE-2019-6847

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6847

- Référence CVE CVE-2018-7240

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7240

- Référence CVE CVE-2018-7241

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7241

- Référence CVE CVE-2011-4859

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4859

- Référence CVE CVE-2018-7242

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7242

- Référence CVE CVE-2021-44228

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

- Référence CVE CVE-2021-45046

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

- Référence CVE CVE-2021-45105

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

- Référence CVE CVE-2021-4104

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

- Référence CVE CVE-2021-44832

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832

- Référence CVE CVE-2021-22786

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22786

- Référence CVE CVE-2022-37302

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37302

- Référence CVE CVE-2022-37301

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37301

- Référence CVE CVE-2022-37300

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37300

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-717/