Risque(s)
- Exécution de code arbitraire
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Modicon M340 Quantum et Premium Quantum CPUs, vérifier l'avis SEVD-2022-011-01 pour identifier les autres systèmes Modicon vulnérables et appliquer les mesures de contournement suggérées par l'éditeur
- Easergy T300, versions antérieures à 2.7.1
- Easergy P5, versions antérieures à 01.401.101, se référer aux informations fournies par l'éditeur pour appliquer les mesures de contournement
- Easergy P3, versions antérieures à 30.205, se référer aux informations fournies par l'éditeur pour appliquer les mesures de contournement
- ConneXium Tofino Firewall TCSEFEA23F3F22, versions antérieures à 03.23
- ConneXium Tofino OPC-LSM TCSEFM0000, versions antérieures à 03.23
- ConneXium Tofino Firewall TCSEFEA23F3F20 et 21, toutes versions. Ces produits ne sont plus maintenus par l'éditeur qui incite fortement à mettre à jour vers la gamme TCSEFA23F3F22
- CODESYS V3, vérifier l'avis SEVD-2022-011-06 pour identifier les périphériques utilisant ce système d'exploitation et appliquer les mesures de contournement suggérées par l'éditeur
- EcoStruxure Power Monitoring Expert 2020, versions antérieures à 2020 CU3 sans le composant Floating License Manager 2.7
- EcoStruxure Power Monitoring Expert 9.0, toutes versions. Ces produits ne sont plus maintenus par l'éditeur qui incite fortement à mettre à jour vers la gamme Power Monitoring Expert 2021
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2022-011-01 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01 - Bulletin de sécurité Schneider SEVD-2022-011-02 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-02 - Bulletin de sécurité Schneider SEVD-2022-011-03 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03 - Bulletin de sécurité Schneider SEVD-2022-011-04 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-04 - Bulletin de sécurité Schneider SEVD-2022-011-05 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-05 - Bulletin de sécurité Schneider SEVD-2022-011-06 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-06 - Bulletin de sécurité Schneider SEVD-2022-011-07 du 11 janvier 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07 - Référence CVE CVE-2022-22724
https://www.cve.org/CVERecord?id=CVE-2022-22724 - Référence CVE CVE-2020-7534
https://www.cve.org/CVERecord?id=CVE-2020-7534 - Référence CVE CVE-2020-8597
https://www.cve.org/CVERecord?id=CVE-2020-8597 - Référence CVE CVE-2022-22722
https://www.cve.org/CVERecord?id=CVE-2022-22722 - Référence CVE CVE-2022-22723
https://www.cve.org/CVERecord?id=CVE-2022-22723 - Référence CVE CVE-2022-22725
https://www.cve.org/CVERecord?id=CVE-2022-22725 - Référence CVE CVE-2021-30061
https://www.cve.org/CVERecord?id=CVE-2021-30061 - Référence CVE CVE-2021-30064
https://www.cve.org/CVERecord?id=CVE-2021-30064 - Référence CVE CVE-2021-30065
https://www.cve.org/CVERecord?id=CVE-2021-30065 - Référence CVE CVE-2021-30066
https://www.cve.org/CVERecord?id=CVE-2021-30066 - Référence CVE CVE-2021-30062
https://www.cve.org/CVERecord?id=CVE-2021-30062 - Référence CVE CVE-2021-30063
https://www.cve.org/CVERecord?id=CVE-2021-30063 - Référence CVE CVE-2021-33485
https://www.cve.org/CVERecord?id=CVE-2021-33485 - Référence CVE CVE-2021-29241
https://www.cve.org/CVERecord?id=CVE-2021-29241 - Référence CVE CVE-2021-29240
https://www.cve.org/CVERecord?id=CVE-2021-29240 - Référence CVE CVE-2021-21863
https://www.cve.org/CVERecord?id=CVE-2021-21863 - Référence CVE CVE-2021-21864
https://www.cve.org/CVERecord?id=CVE-2021-21864 - Référence CVE CVE-2021-21865
https://www.cve.org/CVERecord?id=CVE-2021-21865 - Référence CVE CVE-2021-21866
https://www.cve.org/CVERecord?id=CVE-2021-21866 - Référence CVE CVE-2021-21867
https://www.cve.org/CVERecord?id=CVE-2021-21867 - Référence CVE CVE-2021-21868
https://www.cve.org/CVERecord?id=CVE-2021-21868 - Référence CVE CVE-2021-21869
https://www.cve.org/CVERecord?id=CVE-2021-21869 - Référence CVE CVE-2022-22726
https://www.cve.org/CVERecord?id=CVE-2022-22726 - Référence CVE CVE-2019-8963
https://www.cve.org/CVERecord?id=CVE-2019-8963 - Référence CVE CVE-2022-22727
https://www.cve.org/CVERecord?id=CVE-2022-22727 - Référence CVE CVE-2022-22804
https://www.cve.org/CVERecord?id=CVE-2022-22804