Objet: Vulnérabilité dans le système SCADA Schneider Electric SESU

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

• IDS 1.0 versions 1.0 et 2.0
• PowerSuite version 2.5
• Smart Widget Acti 9 version 1.0.0.0
• Smart Widget H8035 version 1.0.0.0
• Smart Widget H8036 version 1.0.0.0
• Smart Widget PM210 version 1.0.0.0
• Smart Widget PM710 version 1.0.0.0
• Smart Widget PM750 version 1.0.0.0
• SoMachine version 1.2.1
• Spacial.pro version 1.0.0.x
• SESU version 1.0.x
• SESU version 1.1.x
• Unity Pro versions 5.0 L, M, S, XL
• Unity Pro versions 6.0 L, M. S, XL
• Unity Pro versions 6.1 L, M,S, XL
• Unity Pro versions 4.1 L, M, S, XL, XLS
• Vijeo Designer version 6.0.x
• Vijeo Designer version 6.1.0.x
• Vijeo Designer version 5.0.0.x
• Vijeo Designer version 5.1.0.x
• Vijeo Designer Opti version 6.0.x
• Vijeo Designer Opti version 5.1.0.x
• Vijeo Designer Opti version 5.0.0.x
• Web Gate Client Files version 5.1.x

Résumé

Une vulnérabilité a été corrigée dans de nombreux produits SCADA Schneider Electric. Elle concerne le système de mise à jour, celui-ci ne vérifie pas la signature des éléments reçu. Un utilisateur malintentionné peut, dans le cadres d'une attaque par « homme du milieu », envoyer ses propres fichiers et ainsi exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité SEVD-2013-009-01 du 09 janvier 2013 :

  http://download.schneider-electric.com/files?p_File_Id=29960974&p_File_Name=SEVD-2013-009-01.pdf