[SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Risque(s)

Non spécifié par l'éditeur
Exécution de code arbitraire à distance
Déni de service à distance
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Injection de code indirecte à distance (XSS)

Systèmes affectés

NET55XX Encoder firmware versions antérieures à 2.1.9.7
Modicon M100
Modicon M200
Modicon M221
Modicon M241
Modicon M251
Modicon M258
Modicon M340 firmware
Modicon M580 firmware versions antérieures à V2.80
Modicon LMC058
Modicon LMC078
Modicon Premium
Modicon Quantum
ATV IMC drive controller
PacDrive Eco
PacDrive Pro
PacDrive Pro2
Schneider Electric Floating License Manager versions antérieures à V2.3.1.0
BMX-NOR-0200H firmware versions antérieures à V1.7 IR 19
TSXETG100
BMxCRA312xx versions antérieures à V2.40
140CRA312xxx

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2019-134-01 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-01+-+Pelco+Endura+NET55XX+Encoder.pdf&p_Doc_Ref=SEVD-2019-134-01
Bulletin de sécurité Schneider Electric SEVD-2019-134-02 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-02+-+Modicon+and+PacDrive+controllers.pdf&p_Doc_Ref=SEVD-2019-134-02
Bulletin de sécurité Schneider Electric SEVD-2019-134-03 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-03+-+Modicon+Controller.pdf&p_Doc_Ref=SEVD-2019-134-03
Bulletin de sécurité Schneider Electric SEVD-2019-134-04 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-04+-Schneider+Electric+Floating+License+Manager.pdf&p_Doc_Ref=SEVD-2019-134-04
Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-05+-+Modicon+Controller.pdf&p_Doc_Ref=SEVD-2019-134-05
Bulletin de sécurité Schneider Electric SEVD-2019-134-06 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-06+-+Modicon+RTU+Module.pdf&p_Doc_Ref=SEVD-2019-134-06
Bulletin de sécurité Schneider Electric SEVD-2019-134-07 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-07+-+ConneXium+Gateway.pdf&p_Doc_Ref=SEVD-2019-134-07
Bulletin de sécurité Schneider Electric SEVD-2019-134-08 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-08+-+Modicon+Quantum.pdf&p_Doc_Ref=SEVD-2019-134-08
Bulletin de sécurité Schneider Electric SEVD-2019-134-09 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-09+-+Modicon+Quantum.pdf&p_Doc_Ref=SEVD-2019-134-09
Bulletin de sécurité Schneider Electric SEVD-2019-134-10 du 14 mai 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-10+-+Modicon+Controller.pdf&p_Doc_Ref=SEVD-2019-134-10
Référence CVE CVE-2019-6814
https://www.cve.org/CVERecord?id=CVE-2019-6814
Référence CVE CVE-2019-6820
https://www.cve.org/CVERecord?id=CVE-2019-6820
Référence CVE CVE-2019-6821
https://www.cve.org/CVERecord?id=CVE-2019-6821
Référence CVE CVE-2018-20031
https://www.cve.org/CVERecord?id=CVE-2018-20031
Référence CVE CVE-2018-20032
https://www.cve.org/CVERecord?id=CVE-2018-20032
Référence CVE CVE-2018-20033
https://www.cve.org/CVERecord?id=CVE-2018-20033
Référence CVE CVE-2018-20034
https://www.cve.org/CVERecord?id=CVE-2018-20034
Référence CVE CVE-2019-6819
https://www.cve.org/CVERecord?id=CVE-2019-6819
Référence CVE CVE-2019-6812
https://www.cve.org/CVERecord?id=CVE-2019-6812
Référence CVE CVE-2018-7834
https://www.cve.org/CVERecord?id=CVE-2018-7834
Référence CVE CVE-2018-7788
https://www.cve.org/CVERecord?id=CVE-2018-7788
Référence CVE CVE-2019-6815
https://www.cve.org/CVERecord?id=CVE-2019-6815
Référence CVE CVE-2019-6816
https://www.cve.org/CVERecord?id=CVE-2019-6816
Référence CVE CVE-2018-7851
https://www.cve.org/CVERecord?id=CVE-2018-7851

Référence	CERTFR-2019-AVI-232
Titre	[SCADA] Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	17 mai 2019
Date de la dernière version	17 mai 2019
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2019-134-01 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-02 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-03 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-04 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-06 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-07 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-08 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-09 du 14 mai 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-10 du 14 mai 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document