SCADA Multiples vulnérabilités dans Schneider Electric Modicon

Gestion du document

Référence	CERTFR-2018-AVI-574
Titre	SCADA Multiples vulnérabilités dans Schneider Electric Modicon
Date de la première version	27 novembre 2018
Date de la dernière version	27 novembre 2018
Source(s)	Bulletin de sécurité Schneider Electric du 23 novembre 2018
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Injection de code indirecte à distance (XSS)

Systèmes affectés

Modicon M340, Premium, Quantum PLCs et BMXNOR0200

Résumé

De multiples vulnérabilités ont été découvertes dans Schneider Electric Modicon. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric du 23 novembre 2018
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-327-01-Embedded-Web-Servers-Modicon.pdf&p_Doc_Ref=SEVD-2018-327-01
Référence CVE CVE-2018-7809
https://www.cve.org/CVERecord?id=CVE-2018-7809
Référence CVE CVE-2018-7810
https://www.cve.org/CVERecord?id=CVE-2018-7810
Référence CVE CVE-2018-7811
https://www.cve.org/CVERecord?id=CVE-2018-7811
Référence CVE CVE-2018-7830
https://www.cve.org/CVERecord?id=CVE-2018-7830
Référence CVE CVE-2018-7831
https://www.cve.org/CVERecord?id=CVE-2018-7831

Avis du CERT-FR

Objet: SCADA Multiples vulnérabilités dans Schneider Electric Modicon