Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- Zelio Soft 2 versions antérieures à v5.3
- Interactive Graphical SCADA System (IGSS) versions antérieures à 13.0.0.19140
- Interactive Graphical SCADA System (IGSS) versions 14.x antérieures à 14.0.0.19120
- Modicon Ethernet Module BMENOC0301 versions antérieures à V2.16
- Modicon M580 versions antérieures à V2.90
- Modicon M340 versions antérieures à V3.01
- Control Expert versions antérieures à V14.0 sans le dernier correctif de sécurité
- Modicon Momentum M1E 171CBU98090Modicon Momentum M1E 171CBU98091
- Modicon M340 versions antérieures à V2.70
- Modicon M580 versions antérieures à V2.01
- Modicon Premium versions antérieures à V3.10
- Modicon Quantum versions antérieures à V3.12
- Modicon M221
- SCADAPack 32 RTU
- SCADAPack 300 series RTU (314, 330, 334, 350)
- SCADAPack 300 E et 500 E series RTU (312E, 313E, 314E, 330E, 333E, 337E, 350E, 530E, 535E)
- SCADAPack 57x RTU (570, 575)
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2019-190-01 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-01-Zelio-Soft-2.pdf&p_Doc_Ref=SEVD-2019-190-01 - Bulletin de sécurité Schneider Electric SEVD-2019-190-02 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-02-IGSS.pdf&p_Doc_Ref=SEVD-2019-190-02 - Bulletin de sécurité Schneider Electric SEVD-2019-190-03 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-190-03-Modicon-M580-Controller.pdf&p_Doc_Ref=SEVD-2019-190-03 - Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-11-Modicon-Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-11 - Bulletin de sécurité Schneider Electric SEVD-2017-065-01 du 09 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2017-065-01-Modicon-SCADAPack-V2.0.pdf&p_Doc_Ref=SEVD-2017-065-01 - Bulletin de sécurité Schneider Electric SEVD-2019-134-05 du 02 juillet 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-05-Modicon+Controllers-V1.1.pdf&p_Doc_Ref=SEVD-2019-134-05 - Référence CVE CVE-2019-6822
https://www.cve.org/CVERecord?id=CVE-2019-6822 - Référence CVE CVE-2019-6827
https://www.cve.org/CVERecord?id=CVE-2019-6827 - Référence CVE CVE-2018-7838
https://www.cve.org/CVERecord?id=CVE-2018-7838 - Référence CVE CVE-2018-7846
https://www.cve.org/CVERecord?id=CVE-2018-7846 - Référence CVE CVE-2018-7849
https://www.cve.org/CVERecord?id=CVE-2018-7849 - Référence CVE CVE-2018-7843
https://www.cve.org/CVERecord?id=CVE-2018-7843 - Référence CVE CVE-2018-7848
https://www.cve.org/CVERecord?id=CVE-2018-7848 - Référence CVE CVE-2018-7842
https://www.cve.org/CVERecord?id=CVE-2018-7842 - Référence CVE CVE-2018-7847
https://www.cve.org/CVERecord?id=CVE-2018-7847 - Référence CVE CVE-2018-7850
https://www.cve.org/CVERecord?id=CVE-2018-7850 - Référence CVE CVE-2018-7845
https://www.cve.org/CVERecord?id=CVE-2018-7845 - Référence CVE CVE-2018-7853
https://www.cve.org/CVERecord?id=CVE-2018-7853 - Référence CVE CVE-2018-7854
https://www.cve.org/CVERecord?id=CVE-2018-7854 - Référence CVE CVE-2018-7856
https://www.cve.org/CVERecord?id=CVE-2018-7856 - Référence CVE CVE-2018-7857
https://www.cve.org/CVERecord?id=CVE-2018-7857 - Référence CVE CVE-2019-6806
https://www.cve.org/CVERecord?id=CVE-2019-6806 - Référence CVE CVE-2019-6807
https://www.cve.org/CVERecord?id=CVE-2019-6807 - Référence CVE CVE-2019-6808
https://www.cve.org/CVERecord?id=CVE-2019-6808 - Référence CVE CVE-2018-7844
https://www.cve.org/CVERecord?id=CVE-2018-7844 - Référence CVE CVE-2017-6028
https://www.cve.org/CVERecord?id=CVE-2017-6028 - Référence CVE CVE-2019-6819
https://www.cve.org/CVERecord?id=CVE-2019-6819