Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- OPC UA Modicon Communication Module (BMENUA0100) versions antérieures à 2.01
- Modicon M580 CPU (BMEP* et BMEH*) versions antérieures à 4.01
- Modicon M340 CPU (BMXP34*) versions antérieures 3.50
- Eurotherm Data Reviewer3.0.2 software versions antérieures 4.0.0
- Modicon MC80 (BMKC80) toutes versions
- Modicon Momentum MDI (171CBU*) toutes versions
- Legacy Modicon Quantum toutes versions
- EcoStruxure Control Expert versions antérieures à 15.2
- EcoStruxure Process Expert versions antérieures à 2021
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2022-193-01 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-01_OPC_UA_X80_Advanced_RTU_Modicon_Communication_Modules_Security_Notification_V3.0.pdf - Bulletin de sécurité Schneider SEVD-2021-313-05 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_Badalloc_Vulnerabilities_Security_Notification_V10.0.pdf - Bulletin de sécurité Schneider SEVD-2021-222-04 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-222-04_Modicon_PAC_Controllers_PLC_Simulator_Control_Expert_Process_Expert_Security_Notification_V2.0.pdf - Bulletin de sécurité Schneider SEVD-2021-194-01 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-194-01_EcoStruxure_Control_Expert_Process_Expert_SCADAPack_RemoteConnect_Modicon_M580_M340_Security_Notifcation_V4.0.pdf - Bulletin de sécurité Schneider SEVD-2019-281-02 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2019-281-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2019-281-02_Modicon_Controllers_Security_Notification_V3.0.pdf - Bulletin de sécurité Schneider SEVD-2018-081-01 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2018-081-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2018-081-01_Embedded_FTP_Servers_for_Modicon_PAC_Controllers_Security_Notification_V3.0.pdf - Bulletin de sécurité Schneider SESB-2021-347-01 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SESB-2021-347-01_Apache_Log4j_Log4Shell_Vulnerabilities_Security_Notification_V14.0.pdf - Bulletin de sécurité Schneider SEVD-2022-221-04 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-04-Modicon_Controllers_Ethernet_Modules_Security_Notification_V1.1.pdf - Bulletin de sécurité Schneider SEVD-2022-221-03 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-03_EcoStruxure_Control_Expert_Security_Notification.pdf - Bulletin de sécurité Schneider SEVD-2022-221-02 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-02_Modicon_Controllers_Security_Notification_V1.1.pdf - Bulletin de sécurité Schneider SEVD-2022-221-01 du 9 août 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-01_EcoStruxure_Control_Expert_Modicon580_Security_Notification_V1.1.pdf - Référence CVE CVE-2022-34759
https://www.cve.org/CVERecord?id=CVE-2022-34759 - Référence CVE CVE-2022-34760
https://www.cve.org/CVERecord?id=CVE-2022-34760 - Référence CVE CVE-2022-34761
https://www.cve.org/CVERecord?id=CVE-2022-34761 - Référence CVE CVE-2022-34762
https://www.cve.org/CVERecord?id=CVE-2022-34762 - Référence CVE CVE-2022-34763
https://www.cve.org/CVERecord?id=CVE-2022-34763 - Référence CVE CVE-2022-34764
https://www.cve.org/CVERecord?id=CVE-2022-34764 - Référence CVE CVE-2022-34765
https://www.cve.org/CVERecord?id=CVE-2022-34765 - Référence CVE CVE-2020-35198
https://www.cve.org/CVERecord?id=CVE-2020-35198 - Référence CVE CVE-2020-28895
https://www.cve.org/CVERecord?id=CVE-2020-28895 - Référence CVE CVE-2021-22789
https://www.cve.org/CVERecord?id=CVE-2021-22789 - Référence CVE CVE-2021-22790
https://www.cve.org/CVERecord?id=CVE-2021-22790 - Référence CVE CVE-2021-22791
https://www.cve.org/CVERecord?id=CVE-2021-22791 - Référence CVE CVE-2021-22792
https://www.cve.org/CVERecord?id=CVE-2021-22792 - Référence CVE CVE-2021-22778
https://www.cve.org/CVERecord?id=CVE-2021-22778 - Référence CVE CVE-2020-12525
https://www.cve.org/CVERecord?id=CVE-2020-12525 - Référence CVE CVE-2021-22779
https://www.cve.org/CVERecord?id=CVE-2021-22779 - Référence CVE CVE-2021-22780
https://www.cve.org/CVERecord?id=CVE-2021-22780 - Référence CVE CVE-2021-22781
https://www.cve.org/CVERecord?id=CVE-2021-22781 - Référence CVE CVE-2021-22782
https://www.cve.org/CVERecord?id=CVE-2021-22782 - Référence CVE CVE-2019-6841
https://www.cve.org/CVERecord?id=CVE-2019-6841 - Référence CVE CVE-2019-6842
https://www.cve.org/CVERecord?id=CVE-2019-6842 - Référence CVE CVE-2019-6843
https://www.cve.org/CVERecord?id=CVE-2019-6843 - Référence CVE CVE-2019-6844
https://www.cve.org/CVERecord?id=CVE-2019-6844 - Référence CVE CVE-2019-6846
https://www.cve.org/CVERecord?id=CVE-2019-6846 - Référence CVE CVE-2019-6847
https://www.cve.org/CVERecord?id=CVE-2019-6847 - Référence CVE CVE-2018-7240
https://www.cve.org/CVERecord?id=CVE-2018-7240 - Référence CVE CVE-2018-7241
https://www.cve.org/CVERecord?id=CVE-2018-7241 - Référence CVE CVE-2011-4859
https://www.cve.org/CVERecord?id=CVE-2011-4859 - Référence CVE CVE-2018-7242
https://www.cve.org/CVERecord?id=CVE-2018-7242 - Référence CVE CVE-2021-44228
https://www.cve.org/CVERecord?id=CVE-2021-44228 - Référence CVE CVE-2021-45046
https://www.cve.org/CVERecord?id=CVE-2021-45046 - Référence CVE CVE-2021-45105
https://www.cve.org/CVERecord?id=CVE-2021-45105 - Référence CVE CVE-2021-4104
https://www.cve.org/CVERecord?id=CVE-2021-4104 - Référence CVE CVE-2021-44832
https://www.cve.org/CVERecord?id=CVE-2021-44832 - Référence CVE CVE-2021-22786
https://www.cve.org/CVERecord?id=CVE-2021-22786 - Référence CVE CVE-2022-37302
https://www.cve.org/CVERecord?id=CVE-2022-37302 - Référence CVE CVE-2022-37301
https://www.cve.org/CVERecord?id=CVE-2022-37301 - Référence CVE CVE-2022-37300
https://www.cve.org/CVERecord?id=CVE-2022-37300