Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2024 - AVI - 0013

AVIS CERT

CERT-FR

Publié le 9 janvier 2024 à 15h43

Objet : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Référence : CERTFR-2024-AVI-0013

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Easergy Studio versions antérieures à v9.3.5
- contrôleurs PacDrive sans le dernier correctif de sécurité
- contrôleurs Modicon M241, M251 et M262, HMISCU et EcoStruxure Machine Expert sans les derniers correctifs de sécurité et mesures de contournement
- Magelis XBT
- EcoStruxure Control Expert versions antérieures à v16.0
- Modicon M580 versions antérieures à sv4.20
- PowerLogic T300, MiCOM C264 D7.21 (et ultérieures) ou Easergy C5 1.1.6 (et ultérieures), PACiS GTW et EPAS GTW sans les dernières mesures de contournement
- Harmony/Magelis HMISCU versions antérieures à 6.3.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Schneider Electric SEVD-2024-009-02 du 09 janvier 2024

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-009-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-009-02.pdf

- Bulletin de sécurité Schneider Electric SEVD-2023-192-04 du 11 juillet 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-04.pdf

- Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf

- Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf

- Bulletin de sécurité Schneider Electric SEVD-2023-010-06 du 10 janvier 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-06_Modicon_Controllers_Security_Notification.pdf

- Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 10 janvier 2023

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf

- Bulletin de sécurité Schneider Electric SEVD-2021-159-04 du 08 juin 2021

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf

- Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-159-04_ISaGRAF_Security_Notification.pdf

- Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-225-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=sevd-2019-225-01.json

- Référence CVE CVE-2023-7032

https://www.cve.org/CVERecord?id=CVE-2023-7032

- Référence CVE CVE-2023-27976

https://www.cve.org/CVERecord?id=CVE-2023-27976

- Référence CVE CVE-2023-1548

https://www.cve.org/CVERecord?id=CVE-2023-1548

- Référence CVE CVE-2022-4224

https://www.cve.org/CVERecord?id=CVE-2022-4224

- Référence CVE CVE-2022-4046

https://www.cve.org/CVERecord?id=CVE-2022-4046

- Référence CVE CVE-2023-28355

https://www.cve.org/CVERecord?id=CVE-2023-28355

- Référence CVE CVE-2020-25176

https://www.cve.org/CVERecord?id=CVE-2020-25176

- Référence CVE CVE-2020-25178

https://www.cve.org/CVERecord?id=CVE-2020-25178

- Référence CVE CVE-2020-25182

https://www.cve.org/CVERecord?id=CVE-2020-25182

- Référence CVE CVE-2020-25184

https://www.cve.org/CVERecord?id=CVE-2020-25184

- Référence CVE CVE-2020-25180

https://www.cve.org/CVERecord?id=CVE-2020-25180

- Référence CVE CVE-2019-6833

https://www.cve.org/CVERecord?id=CVE-2019-6833

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0013/