Risque(s)

  • Exécution de code arbitraire
  • Déni de service à distance
  • Atteinte à la confidentialité des données

Systèmes affectés

  • EcoStruxure™ Control Expert
  • Unity Pro (former name of EcoStruxure™ Control Expert)
  • EcoStruxure Geo SCADA Expert 2019 versions antérieures à 81.7613.1
  • EcoStruxure Geo SCADA Expert 2020 versions antérieures à 83.7613.1
  • Modicon M340 CPU BMXP34* versions antérieures à V3.3
  • Modicon M340 Ethernet Communication modules BMXNOC0401 versions antérieures à V2.10 (*)
  • Modicon M340 Ethernet Communication modules BMXNOE0100 versions antérieures à V3.4
  • Modicon M340 Ethernet Communication modules BMXNOE0110 versions antérieures à V6.6
  • Modicon Premium processors with integrated Ethernet COPRO TSXP574634, TSXP575634, TSXP576634
  • Modicon Quantum CPUs 140CPU65xxxxx versions antérieures à V6.1 (*)
  • Modicon Quantum communication modules 140NOE771x1 versions antérieures à V7.3 (*)
  • Modicon Quantum communication modules 140NOC78x00 versions antérieures à V1.74 (*)
  • Modicon Quantum communication modules 140NOC77101 versions antérieures à V1.08
  • Modicon Premium communication modules TSXETY4103 versions antérieures à V6.2 (*)
  • Modicon Premium communication modules TSXETY5103 versions antérieures à V6.4 (*)
  • Modicon Premium CPUs TSXP574634, TSXP575634, TSXP576634 versions antérieures à V6.1 (*)
  • BMXNOE0100
  • BMXNOE0110
  • BMXNOR0200H
  • BMXNOR200H
  • Modicon M580 CPUs BMEx58xxxxx microgiciel versions antérieures à 3.20
  • Modicon M258 versions antérieures à 5.0.4.11
  • SoMachine/SoMachine Motion software

(*) ces versions ne corrigent pas toutes les vulnérabilités

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation