Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Easergy Builder installer versions antérieures à V1.7.24
- Modicon M580 versions antérieures à SV4.10
- Modicon M340 CPU versions antérieures à SV3.51
- APC Easy UPS Online Monitoring versions antérieures à 2.6-GA
- Schneider Electric Easy UPS Online versions antérieures à 2.6-GS
- EcoStruxure Control Expert versions antérieures à V15.3
- InsightHome, InsightFacility et Conext Gateway versions antérieures à 1.17 Build 079
- PacDrive 3 Controllers LMC
- Eco/Pro/Pro2
- PacDrive Controller LMC078
- Modicon Controller M241
- Modicon Controller M251
- Modicon Controller M262
- Modicon Controller M258
- Modicon Controller LMC058
- Modicon Controller M218
- HMISCU Controller
- Modicon M580 Ethernet Communication Modules (BMENOC0301 et BMENOC0311) versions antérieures à SV2.21
- Modicon M580 NOC Control (BMENOC0321) versions antérieures à 1.8
- Easy Harmony ET6 (HMIET Series) et Easy Harmony GXU (HMIGXU Series) avec Vijeo Designer Basic versions antérieures à V1.2.1 Hotfix 4
- Modicon Modicon M340 CPU (part numbers BMXP34*) versions antérieures à SV3.51
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-101-02 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-02.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-101-04 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-101-05 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-05.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-101-06 du 11 avril 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-06.pdf - Bulletin de sécurité Schneider Electric SEVD-2021-313-05 du 09 novembre 2021
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_BadAlloc_Vulnerabilities_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 11 janvier 2022
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-010-05 du 10 janvier 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-05_Modicon_Controllers_Security_Notification.pdf - Référence CVE CVE-2022-4224
https://www.cve.org/CVERecord?id=CVE-2022-4224 - Référence CVE CVE-2023-28355
https://www.cve.org/CVERecord?id=CVE-2023-28355 - Référence CVE CVE-2022-4046
https://www.cve.org/CVERecord?id=CVE-2022-4046 - Référence CVE CVE-2023-29410
https://www.cve.org/CVERecord?id=CVE-2023-29410 - Référence CVE CVE-2023-27976
https://www.cve.org/CVERecord?id=CVE-2023-27976 - Référence CVE CVE-2023-1548
https://www.cve.org/CVERecord?id=CVE-2023-1548 - Référence CVE CVE-2023-29411
https://www.cve.org/CVERecord?id=CVE-2023-29411 - Référence CVE CVE-2023-29412
https://www.cve.org/CVERecord?id=CVE-2023-29412 - Référence CVE CVE-2023-29413
https://www.cve.org/CVERecord?id=CVE-2023-29413 - Référence CVE CVE-2023-25619
https://www.cve.org/CVERecord?id=CVE-2023-25619 - Référence CVE CVE-2023-25620
https://www.cve.org/CVERecord?id=CVE-2023-25620 - Référence CVE CVE-2022-34755
https://www.cve.org/CVERecord?id=CVE-2022-34755 - Référence CVE CVE-2022-45788
https://www.cve.org/CVERecord?id=CVE-2022-45788 - Référence CVE CVE-2021-29241
https://www.cve.org/CVERecord?id=CVE-2021-29241 - Référence CVE CVE-2020-35198
https://www.cve.org/CVERecord?id=CVE-2020-35198 - Référence CVE CVE-2020-28895
https://www.cve.org/CVERecord?id=CVE-2020-28895