Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- SCADAPack RemoteConnect for x70 versions antérieures à R2.7.3
- IGSS Data Server versions antérieures à 15.0.0.22074
- Micrologiciels Smart-UPS SCL, SRT, SRC, & XU Series versions antérieures à 15.0
- EcoStruxure Machine Expert versions antérieures à 2.0.3
- Micrologiciels Easergy P5 versions antérieures à 01.401.102
- Acti9 PowerTag Link C (A9XELC10-A) versions antérieures à 2.14.0
- Acti9 PowerTag Link C (A9XELC10-B) versions antérieures à 2.14.0
- SpaceLogic C-Bus Home Controller (5200WHC2), C-Bus Wiser Homer Controller MK2 versions antérieures à 4.14.0 (PICED_V4.14.0 Programming Interface for C-Bus Embedded Devices version V4.14.0)
- OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures
- X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.01
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2021-257-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2021-194-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_V4.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2021-222-02 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-102-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-067-02 du 12 juillet 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-067-02_APC-Smart-UPS_Security_Notification_V6.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-193-04 du 12 juillet 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-04_Easergy_P5_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-193-03 du 12 juillet 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-03_Acti9_PowerTag_Link_C_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-193-02 du 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf - Référence CVE CVE-2021-22797
https://www.cve.org/CVERecord?id=CVE-2021-22797 - Référence CVE CVE-2021-22779
https://www.cve.org/CVERecord?id=CVE-2021-22779 - Référence CVE CVE-2021-22781
https://www.cve.org/CVERecord?id=CVE-2021-22781 - Référence CVE CVE-2021-22782
https://www.cve.org/CVERecord?id=CVE-2021-22782 - Référence CVE CVE-2021-22778
https://www.cve.org/CVERecord?id=CVE-2021-22778 - Référence CVE CVE-2020-12525
https://www.cve.org/CVERecord?id=CVE-2020-12525 - Référence CVE CVE-2021-22780
https://www.cve.org/CVERecord?id=CVE-2021-22780 - Référence CVE CVE-2021-21810
https://www.cve.org/CVERecord?id=CVE-2021-21810 - Référence CVE CVE-2021-21825
https://www.cve.org/CVERecord?id=CVE-2021-21825 - Référence CVE CVE-2021-21811
https://www.cve.org/CVERecord?id=CVE-2021-21811 - Référence CVE CVE-2021-21826
https://www.cve.org/CVERecord?id=CVE-2021-21826 - Référence CVE CVE-2021-21812
https://www.cve.org/CVERecord?id=CVE-2021-21812 - Référence CVE CVE-2021-21827
https://www.cve.org/CVERecord?id=CVE-2021-21827 - Référence CVE CVE-2021-21813
https://www.cve.org/CVERecord?id=CVE-2021-21813 - Référence CVE CVE-2021-21828
https://www.cve.org/CVERecord?id=CVE-2021-21828 - Référence CVE CVE-2021-21814
https://www.cve.org/CVERecord?id=CVE-2021-21814 - Référence CVE CVE-2021-21829
https://www.cve.org/CVERecord?id=CVE-2021-21829 - Référence CVE CVE-2021-21815
https://www.cve.org/CVERecord?id=CVE-2021-21815 - Référence CVE CVE-2021-21830
https://www.cve.org/CVERecord?id=CVE-2021-21830 - Référence CVE CVE-2022-26507
https://www.cve.org/CVERecord?id=CVE-2022-26507 - Référence CVE CVE-2022-2329
https://www.cve.org/CVERecord?id=CVE-2022-2329 - Référence CVE CVE-2022-24324
https://www.cve.org/CVERecord?id=CVE-2022-24324 - Référence CVE CVE-2022-0715
https://www.cve.org/CVERecord?id=CVE-2022-0715 - Référence CVE CVE-2022-22805
https://www.cve.org/CVERecord?id=CVE-2022-22805 - Référence CVE CVE-2022-22806
https://www.cve.org/CVERecord?id=CVE-2022-22806 - Référence CVE CVE-2021-33485
https://www.cve.org/CVERecord?id=CVE-2021-33485 - Référence CVE CVE-2021-29241
https://www.cve.org/CVERecord?id=CVE-2021-29241 - Référence CVE CVE-2021-29240
https://www.cve.org/CVERecord?id=CVE-2021-29240 - Référence CVE CVE-2021-21863
https://www.cve.org/CVERecord?id=CVE-2021-21863 - Référence CVE CVE-2021-21864
https://www.cve.org/CVERecord?id=CVE-2021-21864 - Référence CVE CVE-2021-21865
https://www.cve.org/CVERecord?id=CVE-2021-21865 - Référence CVE CVE-2021-21866
https://www.cve.org/CVERecord?id=CVE-2021-21866 - Référence CVE CVE-2021-21867
https://www.cve.org/CVERecord?id=CVE-2021-21867 - Référence CVE CVE-2021-21868
https://www.cve.org/CVERecord?id=CVE-2021-21868 - Référence CVE CVE-2021-21869
https://www.cve.org/CVERecord?id=CVE-2021-21869 - Référence CVE CVE-2022-34756
https://www.cve.org/CVERecord?id=CVE-2022-34756 - Référence CVE CVE-2022-34757
https://www.cve.org/CVERecord?id=CVE-2022-34757 - Référence CVE CVE-2022-34758
https://www.cve.org/CVERecord?id=CVE-2022-34758 - Référence CVE CVE-2022-34754
https://www.cve.org/CVERecord?id=CVE-2022-34754 - Référence CVE CVE-2022-34753
https://www.cve.org/CVERecord?id=CVE-2022-34753 - Référence CVE CVE-2022-34759
https://www.cve.org/CVERecord?id=CVE-2022-34759 - Référence CVE CVE-2022-34760
https://www.cve.org/CVERecord?id=CVE-2022-34760 - Référence CVE CVE-2022-34761
https://www.cve.org/CVERecord?id=CVE-2022-34761 - Référence CVE CVE-2022-34762
https://www.cve.org/CVERecord?id=CVE-2022-34762 - Référence CVE CVE-2022-34763
https://www.cve.org/CVERecord?id=CVE-2022-34763 - Référence CVE CVE-2022-34764
https://www.cve.org/CVERecord?id=CVE-2022-34764 - Référence CVE CVE-2022-34765
https://www.cve.org/CVERecord?id=CVE-2022-34765