Objet: [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Risque(s)

• Déni de service à distance
• Contournement de la politique de sécurité

Systèmes affectés

• Unity loader et OS Loader toutes versions
• Modicon LMC078 Logic Controller versions V1.51.15.05 et ultérieures

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Schneider Electric SEVD-2020-161-02 du 09 juin 2020
  https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-02_Unity_Loader_and_OS_Loader_Software_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-02
• Bulletin de sécurité Schneider Electric SEVD-2020-161-03 du 09 juin 2020
  https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-03_LMC078_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-03
• Bulletin de sécurité Schneider Electric SEVD-2020-161-01 du 09 juin 2020
  https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-01-Modicon_M218_Logic_Controller_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-01
• Référence CVE CVE-2020-7498
  https://www.cve.org/CVERecord?id=CVE-2020-7498
• Référence CVE CVE-2020-10664
  https://www.cve.org/CVERecord?id=CVE-2020-10664
• Référence CVE CVE-2020-7502
  https://www.cve.org/CVERecord?id=CVE-2020-7502