Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
Systèmes affectés
- SoMachine Basic
- EcoStruxure Machine Expert – Basic
- Modicon M100 Logic Controller
- Modicon M200 Logic Controller
- Modicon M221 Logic Controller
- EcoStruxure Machine Expert
- SoMachine, SoMachine Motion
- Modicon M218 Logic Controller
- Modicon M241 Logic Controller
- Modicon M251 Logic Controller
- Modicon M258 Logic Controller
- Vijeo Designer Basic versions V1.1 HotFix 15 et antérieures
- Vijeo Designer versions V6.9 SP9 et antérieures
- TriStation TS1131 versions v4.0.x à v4.9.x antérieures à v4.9.1
- TriStation TS1131 versions v4.10.x antérieures à v4.10.1
- Tricon TCM Model 4351, 4352, 4351A/B et 4352A/B versions v10.x antérieures à v10.5.x
- Modicon M340
- Modicon Premium et Quantum
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-01_Modicon+M100_M200_M221_and_EcoStruxure%E2%84%A2_Machine+Expert_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-01 - Bulletin de sécurité Schneider Electric SEVD-2020-105-02 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-02_Modicon+M218_M241_M251_M258_M258_Logic_Controllers_SoMachine_SoMachine_Motion_EcoStruxure_Machine_Expert_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-02 - Bulletin de sécurité Schneider Electric SEVD-2020-105-03 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-03_Vijeo_Designer_and_Vijeo_Designer_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-03 - Bulletin de sécurité Schneider Electric SESB-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SESB-2020-105-01_Legacy_Triconex_Product_Vulnerabilities_Security_Bulletin_V2.1.pdf&p_Doc_Ref=SESB-2020-105-01 - Bulletin de sécurité Schneider Electric SEVD-2019-316-02 du 12 novembre 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-316-02-Modicon_Controllers_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2019-316-02 - Référence CVE CVE-2020-7489
https://www.cve.org/CVERecord?id=CVE-2020-7489 - Référence CVE CVE-2020-7487
https://www.cve.org/CVERecord?id=CVE-2020-7487 - Référence CVE CVE-2020-7488
https://www.cve.org/CVERecord?id=CVE-2020-7488 - Référence CVE CVE-2020-7490
https://www.cve.org/CVERecord?id=CVE-2020-7490 - Référence CVE CVE-2020-7483
https://www.cve.org/CVERecord?id=CVE-2020-7483 - Référence CVE CVE-2020-7484
https://www.cve.org/CVERecord?id=CVE-2020-7484 - Référence CVE CVE-2020-7485
https://www.cve.org/CVERecord?id=CVE-2020-7485 - Référence CVE CVE-2020-7486
https://www.cve.org/CVERecord?id=CVE-2020-7486 - Référence CVE CVE-2019-6852
https://www.cve.org/CVERecord?id=CVE-2019-6852 - Référence CVE CVE-2019-6859
https://www.cve.org/CVERecord?id=CVE-2019-6859