Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- OPC UA Modicon Communication Module (BMENUA0100) versions 1.10 et antérieures : L'éditeur ne propose pas de correctif, se référer aux mesures de contournement
- X80 advanced RTU Communication Module (BMENOR2200H) versions antérieures à 2.0.1
- EcoStruxure Control Expert (incluant le produit Unity Pro) versions antérieures à 15.1 HF001
- EcoStruxure Process Expert (incluant le produit HDCS) versions antérieures à 2021
- SCADAPack RemoteConnect pour x70 versions antérieures à R2.7.3
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2022-193-01 du 12 juillet 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2021-222-02 mis à jour le 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-02_AT%26T_Labs-XMILX_DEMILL_Eco_Struxure_Control_ExpertEco_Struxure_Process_Expert_SCADA_Pack_RemoteConnect_x70_Security_Notification_V4.0.pdf - Bulletin de sécurité Schneider Electric SEVD-2021-257-01 mis à jour le 12 juillet 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-257-01_EcoStruxure_Control_Expert_EcoStruxure_Process_Expert_SCADAPack_Security_Notification_V3.0.pdf - Référence CVE CVE-2022-34759
https://www.cve.org/CVERecord?id=CVE-2022-34759 - Référence CVE CVE-2022-34760
https://www.cve.org/CVERecord?id=CVE-2022-34760 - Référence CVE CVE-2022-34761
https://www.cve.org/CVERecord?id=CVE-2022-34761 - Référence CVE CVE-2022-34762
https://www.cve.org/CVERecord?id=CVE-2022-34762 - Référence CVE CVE-2022-34763
https://www.cve.org/CVERecord?id=CVE-2022-34763 - Référence CVE CVE-2022-34764
https://www.cve.org/CVERecord?id=CVE-2022-34764 - Référence CVE CVE-2022-34765
https://www.cve.org/CVERecord?id=CVE-2022-34765 - Référence CVE CVE-2021-21810
https://www.cve.org/CVERecord?id=CVE-2021-21810 - Référence CVE CVE-2021-21825
https://www.cve.org/CVERecord?id=CVE-2021-21825 - Référence CVE CVE-2021-21811
https://www.cve.org/CVERecord?id=CVE-2021-21811 - Référence CVE CVE-2021-21826
https://www.cve.org/CVERecord?id=CVE-2021-21826 - Référence CVE CVE-2021-21812
https://www.cve.org/CVERecord?id=CVE-2021-21812 - Référence CVE CVE-2021-21827
https://www.cve.org/CVERecord?id=CVE-2021-21827 - Référence CVE CVE-2021-21813
https://www.cve.org/CVERecord?id=CVE-2021-21813 - Référence CVE CVE-2021-21828
https://www.cve.org/CVERecord?id=CVE-2021-21828 - Référence CVE CVE-2021-21814
https://www.cve.org/CVERecord?id=CVE-2021-21814 - Référence CVE CVE-2021-21829
https://www.cve.org/CVERecord?id=CVE-2021-21829 - Référence CVE CVE-2021-21815
https://www.cve.org/CVERecord?id=CVE-2021-21815 - Référence CVE CVE-2021-21830
https://www.cve.org/CVERecord?id=CVE-2021-21830 - Référence CVE CVE-2022-26507
https://www.cve.org/CVERecord?id=CVE-2022-26507 - Référence CVE CVE-2021-22797
https://www.cve.org/CVERecord?id=CVE-2021-22797