Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2023 - AVI - 0525

AVIS CERT

CERT-FR

Publié le 11 juillet 2023 à 18h29

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2023-AVI-0525

Risque(s)

- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Exécution de code arbitraire à distance

Systèmes affectés

- StruxureWare Data Center Expert versions antérieures à 8.0
- EcoStruxure OPC UA Server Expert versions antérieures à SV2.01 SP2
- Accutech Manager versions antérieures à 2.8

Pour les produits vulnérables listés ci-dessous, en l'attente d'un correctif, l'éditeur recommande d'appliquer un certain nombre de mesures d'atténuation :

- HMISCU Controller
- Modicon Controller LMC078
- Modicon Controller M241
- Modicon Controller M251
- Modicon Controller M262
- Modicon Controller M258
- Modicon Controller LMC058
- Modicon Controller M218
- PacDrive 3 Controllers LMC
- Eco/Pro/Pro2
- SoftSPS embedded in
- EcoStruxure Machine Expert

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2023-192-01 du 11 juillet 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-01.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-192-02 du 11 juillet 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-02.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-192-03 du 11 juillet 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-03.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-192-04 du 11 juillet 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-04.pdf
- Référence CVE CVE-2023-37196
https://www.cve.org/CVERecord?id=CVE-2023-37196
- Référence CVE CVE-2023-37197
https://www.cve.org/CVERecord?id=CVE-2023-37197
- Référence CVE CVE-2023-37198
https://www.cve.org/CVERecord?id=CVE-2023-37198
- Référence CVE CVE-2023-37199
https://www.cve.org/CVERecord?id=CVE-2023-37199
- Référence CVE CVE-2023-37200
https://www.cve.org/CVERecord?id=CVE-2023-37200
- Référence CVE CVE-2023-29414
https://www.cve.org/CVERecord?id=CVE-2023-29414
- Référence CVE CVE-2022-47391
https://www.cve.org/CVERecord?id=CVE-2022-47391
- Référence CVE CVE-2022-47378
https://www.cve.org/CVERecord?id=CVE-2022-47378
- Référence CVE CVE-2022-47379
https://www.cve.org/CVERecord?id=CVE-2022-47379
- Référence CVE CVE-2022-47380
https://www.cve.org/CVERecord?id=CVE-2022-47380
- Référence CVE CVE-2022-47381
https://www.cve.org/CVERecord?id=CVE-2022-47381
- Référence CVE CVE-2022-47382
https://www.cve.org/CVERecord?id=CVE-2022-47382
- Référence CVE CVE-2022-47383
https://www.cve.org/CVERecord?id=CVE-2022-47383
- Référence CVE CVE-2022-47384
https://www.cve.org/CVERecord?id=CVE-2022-47384
- Référence CVE CVE-2022-47385
https://www.cve.org/CVERecord?id=CVE-2022-47385
- Référence CVE CVE-2022-47386
https://www.cve.org/CVERecord?id=CVE-2022-47386
- Référence CVE CVE-2022-47387
https://www.cve.org/CVERecord?id=CVE-2022-47387
- Référence CVE CVE-2022-47388
https://www.cve.org/CVERecord?id=CVE-2022-47388
- Référence CVE CVE-2022-47389
https://www.cve.org/CVERecord?id=CVE-2022-47389
- Référence CVE CVE-2022-47390
https://www.cve.org/CVERecord?id=CVE-2022-47390
- Référence CVE CVE-2022-47392
https://www.cve.org/CVERecord?id=CVE-2022-47392
- Référence CVE CVE-2022-47393
https://www.cve.org/CVERecord?id=CVE-2022-47393

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0525/