Multiples vulnérabilités dans les produits Schneider Electric

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

Control Expert versions antérieures à V14.0 sans le dernier correctif de sécurité
Interactive Graphical SCADA System (IGSS) versions 14.x antérieures à 14.0.0.19120
Interactive Graphical SCADA System (IGSS) versions antérieures à 13.0.0.19140
Modicon Ethernet Module BMENOC0301 versions antérieures à V2.16
Modicon M221
Modicon M340 versions antérieures à V2.70
Modicon M340 versions antérieures à V3.01
Modicon M580 versions antérieures à V2.01
Modicon M580 versions antérieures à V2.90
Modicon Momentum M1E 171CBU98090Modicon Momentum M1E 171CBU98091
Modicon Premium versions antérieures à V3.10
Modicon Quantum versions antérieures à V3.12
SCADAPack 300 E et 500 E series RTU (312E, 313E, 314E, 330E, 333E, 337E, 350E, 530E, 535E)
SCADAPack 300 series RTU (314, 330, 334, 350)
SCADAPack 32 RTU
SCADAPack 57x RTU (570, 575)
Zelio Soft 2 versions antérieures à v5.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2017-065-01 du 09 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2017-065-01-Modicon-SCADAPack-V2.0.pdf&p_Doc_Ref=SEVD-2017-065-01

Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 02 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-05-Modicon+Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-05

Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 09 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-11-Modicon-Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-11

Bulletin de sécurité Schneider Electric SEVD-2019-190-01 du 09 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-01-Zelio-Soft-2.pdf&p_Doc_Ref=SEVD-2019-190-01

Bulletin de sécurité Schneider Electric SEVD-2019-190-02 du 09 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-02-IGSS.pdf&p_Doc_Ref=SEVD-2019-190-02

Bulletin de sécurité Schneider Electric SEVD-2019-190-03 du 09 juillet 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-03-Modicon-M580-Controller.pdf&p_Doc_Ref=SEVD-2019-190-03

Référence CVE CVE-2017-6028

https://www.cve.org/CVERecord?id=CVE-2017-6028

Référence CVE CVE-2018-7838

https://www.cve.org/CVERecord?id=CVE-2018-7838

Référence CVE CVE-2018-7842

https://www.cve.org/CVERecord?id=CVE-2018-7842

Référence CVE CVE-2018-7843

https://www.cve.org/CVERecord?id=CVE-2018-7843

Référence CVE CVE-2018-7844

https://www.cve.org/CVERecord?id=CVE-2018-7844

Référence CVE CVE-2018-7845

https://www.cve.org/CVERecord?id=CVE-2018-7845

Référence CVE CVE-2018-7846

https://www.cve.org/CVERecord?id=CVE-2018-7846

Référence CVE CVE-2018-7847

https://www.cve.org/CVERecord?id=CVE-2018-7847

Référence CVE CVE-2018-7848

https://www.cve.org/CVERecord?id=CVE-2018-7848

Référence CVE CVE-2018-7849

https://www.cve.org/CVERecord?id=CVE-2018-7849

Référence CVE CVE-2018-7850

https://www.cve.org/CVERecord?id=CVE-2018-7850

Référence CVE CVE-2018-7853

https://www.cve.org/CVERecord?id=CVE-2018-7853

Référence CVE CVE-2018-7854

https://www.cve.org/CVERecord?id=CVE-2018-7854

Référence CVE CVE-2018-7856

https://www.cve.org/CVERecord?id=CVE-2018-7856

Référence CVE CVE-2018-7857

https://www.cve.org/CVERecord?id=CVE-2018-7857

Référence CVE CVE-2019-6806

https://www.cve.org/CVERecord?id=CVE-2019-6806

Référence CVE CVE-2019-6807

https://www.cve.org/CVERecord?id=CVE-2019-6807

Référence CVE CVE-2019-6808

https://www.cve.org/CVERecord?id=CVE-2019-6808

Référence CVE CVE-2019-6819

https://www.cve.org/CVERecord?id=CVE-2019-6819

Référence CVE CVE-2019-6822

https://www.cve.org/CVERecord?id=CVE-2019-6822

Référence CVE CVE-2019-6827

https://www.cve.org/CVERecord?id=CVE-2019-6827

Référence	CERTFR-2019-AVI-312
Titre	Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	09 juillet 2019
Date de la dernière version	09 juillet 2019
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2017-065-01 du 09 juillet 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 02 juillet 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 09 juillet 2019 Bulletin de sécurité Schneider Electric SEVD-2019-190-01 du 09 juillet 2019 Bulletin de sécurité Schneider Electric SEVD-2019-190-02 du 09 juillet 2019 Bulletin de sécurité Schneider Electric SEVD-2019-190-03 du 09 juillet 2019

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document