Objet: [SCADA] Multiples vulnérabilités dans les produits Schneider Electric

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Élévation de privilèges

Systèmes affectés

• SCADAPack RemoteConnect for x70 versions antérieures à R2.7.3
• IGSS Data Server versions antérieures à 15.0.0.22074
• Micrologiciels Smart-UPS SCL, SRT, SRC, & XU Series versions antérieures à 15.0
• EcoStruxure Machine Expert versions antérieures à 2.0.3
• Micrologiciels Easergy P5 versions antérieures à 01.401.102
• Acti9 PowerTag Link C (A9XELC10-A) versions antérieures à 2.14.0
• Acti9 PowerTag Link C (A9XELC10-B) versions antérieures à 2.14.0
• SpaceLogic C-Bus Home Controller (5200WHC2), C-Bus Wiser Homer Controller MK2 versions antérieures à 4.14.0 (PICED_V4.14.0 Programming Interface for C-Bus Embedded Devices version V4.14.0)
• OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures
• X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.01

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Schneider Electric SEVD-2021-257-01 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf
• Bulletin de sécurité Schneider Electric SEVD-2021-194-01 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_V4.0.pdf
• Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-102-01 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-067-02 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-067-02_APC-Smart-UPS_Security_Notification_V6.0.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-193-04 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-04_Easergy_P5_Security_Notification.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-193-03 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-03_Acti9_PowerTag_Link_C_Security_Notification.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-193-02 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf
• Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022
  https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf
• Référence CVE CVE-2021-22797
  https://www.cve.org/CVERecord?id=CVE-2021-22797
• Référence CVE CVE-2021-22779
  https://www.cve.org/CVERecord?id=CVE-2021-22779
• Référence CVE CVE-2021-22781
  https://www.cve.org/CVERecord?id=CVE-2021-22781
• Référence CVE CVE-2021-22782
  https://www.cve.org/CVERecord?id=CVE-2021-22782
• Référence CVE CVE-2021-22778
  https://www.cve.org/CVERecord?id=CVE-2021-22778
• Référence CVE CVE-2020-12525
  https://www.cve.org/CVERecord?id=CVE-2020-12525
• Référence CVE CVE-2021-22780
  https://www.cve.org/CVERecord?id=CVE-2021-22780
• Référence CVE CVE-2021-21810
  https://www.cve.org/CVERecord?id=CVE-2021-21810
• Référence CVE CVE-2021-21825
  https://www.cve.org/CVERecord?id=CVE-2021-21825
• Référence CVE CVE-2021-21811
  https://www.cve.org/CVERecord?id=CVE-2021-21811
• Référence CVE CVE-2021-21826
  https://www.cve.org/CVERecord?id=CVE-2021-21826
• Référence CVE CVE-2021-21812
  https://www.cve.org/CVERecord?id=CVE-2021-21812
• Référence CVE CVE-2021-21827
  https://www.cve.org/CVERecord?id=CVE-2021-21827
• Référence CVE CVE-2021-21813
  https://www.cve.org/CVERecord?id=CVE-2021-21813
• Référence CVE CVE-2021-21828
  https://www.cve.org/CVERecord?id=CVE-2021-21828
• Référence CVE CVE-2021-21814
  https://www.cve.org/CVERecord?id=CVE-2021-21814
• Référence CVE CVE-2021-21829
  https://www.cve.org/CVERecord?id=CVE-2021-21829
• Référence CVE CVE-2021-21815
  https://www.cve.org/CVERecord?id=CVE-2021-21815
• Référence CVE CVE-2021-21830
  https://www.cve.org/CVERecord?id=CVE-2021-21830
• Référence CVE CVE-2022-26507
  https://www.cve.org/CVERecord?id=CVE-2022-26507
• Référence CVE CVE-2022-2329
  https://www.cve.org/CVERecord?id=CVE-2022-2329
• Référence CVE CVE-2022-24324
  https://www.cve.org/CVERecord?id=CVE-2022-24324
• Référence CVE CVE-2022-0715
  https://www.cve.org/CVERecord?id=CVE-2022-0715
• Référence CVE CVE-2022-22805
  https://www.cve.org/CVERecord?id=CVE-2022-22805
• Référence CVE CVE-2022-22806
  https://www.cve.org/CVERecord?id=CVE-2022-22806
• Référence CVE CVE-2021-33485
  https://www.cve.org/CVERecord?id=CVE-2021-33485
• Référence CVE CVE-2021-29241
  https://www.cve.org/CVERecord?id=CVE-2021-29241
• Référence CVE CVE-2021-29240
  https://www.cve.org/CVERecord?id=CVE-2021-29240
• Référence CVE CVE-2021-21863
  https://www.cve.org/CVERecord?id=CVE-2021-21863
• Référence CVE CVE-2021-21864
  https://www.cve.org/CVERecord?id=CVE-2021-21864
• Référence CVE CVE-2021-21865
  https://www.cve.org/CVERecord?id=CVE-2021-21865
• Référence CVE CVE-2021-21866
  https://www.cve.org/CVERecord?id=CVE-2021-21866
• Référence CVE CVE-2021-21867
  https://www.cve.org/CVERecord?id=CVE-2021-21867
• Référence CVE CVE-2021-21868
  https://www.cve.org/CVERecord?id=CVE-2021-21868
• Référence CVE CVE-2021-21869
  https://www.cve.org/CVERecord?id=CVE-2021-21869
• Référence CVE CVE-2022-34756
  https://www.cve.org/CVERecord?id=CVE-2022-34756
• Référence CVE CVE-2022-34757
  https://www.cve.org/CVERecord?id=CVE-2022-34757
• Référence CVE CVE-2022-34758
  https://www.cve.org/CVERecord?id=CVE-2022-34758
• Référence CVE CVE-2022-34754
  https://www.cve.org/CVERecord?id=CVE-2022-34754
• Référence CVE CVE-2022-34753
  https://www.cve.org/CVERecord?id=CVE-2022-34753
• Référence CVE CVE-2022-34759
  https://www.cve.org/CVERecord?id=CVE-2022-34759
• Référence CVE CVE-2022-34760
  https://www.cve.org/CVERecord?id=CVE-2022-34760
• Référence CVE CVE-2022-34761
  https://www.cve.org/CVERecord?id=CVE-2022-34761
• Référence CVE CVE-2022-34762
  https://www.cve.org/CVERecord?id=CVE-2022-34762
• Référence CVE CVE-2022-34763
  https://www.cve.org/CVERecord?id=CVE-2022-34763
• Référence CVE CVE-2022-34764
  https://www.cve.org/CVERecord?id=CVE-2022-34764
• Référence CVE CVE-2022-34765
  https://www.cve.org/CVERecord?id=CVE-2022-34765