CERTFR-2020-AVI-209 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric (15 avril 2020)
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
Systèmes affectés
- SoMachine Basic
- EcoStruxure Machine Expert – Basic
- Modicon M100 Logic Controller
- Modicon M200 Logic Controller
- Modicon
M221 Logic ControllerEcoStruxure Machine Expert SoMachine, SoMachine Motion Modicon M218 Logic Controller Modicon M241 Logic Controller Modicon M251 Logic Controller Modicon M258 Logic Controller Vijeo Designer Basic versions V1.1 HotFix 15 et antérieures Vijeo Designer versions V6.9 SP9 et antérieures TriStation TS1131 versions v4.0.x à v4.9.x antérieures à v4.9.1 TriStation TS1131 versions v4.10.x antérieures à v4.10.1 Tricon TCM Model 4351, 4352, 4351A/B et 4352A/B versions v10.x antérieures à v10.5.x Modicon M340 Modicon Premium et Quantum
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-01_Modicon+M100_M200_M221_and_EcoStruxure%E2%84%A2_Machine+Expert_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-01 - Bulletin de sécurité Schneider Electric SEVD-2020-105-02 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-02_Modicon+M218_M241_M251_M258_M258_Logic_Controllers_SoMachine_SoMachine_Motion_EcoStruxure_Machine_Expert_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-02 - Bulletin de sécurité Schneider Electric SEVD-2020-105-03 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-03_Vijeo_Designer_and_Vijeo_Designer_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-03 - Bulletin de sécurité Schneider Electric SESB-2020-105-01 du 14 avril 2020
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SESB-2020-105-01_Legacy_Triconex_Product_Vulnerabilities_Security_Bulletin.pdf&p_Doc_Ref=SESB-2020-105-01 - Bulletin de sécurité Schneider Electric SEVD-2019-316-02 du 12 novembre 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-316-02-Modicon_Controllers_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2019-316-02 - Référence CVE CVE-2020-7489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7489 - Référence CVE CVE-2020-7487
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7487 - Référence CVE CVE-2020-7488
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7488 - Référence CVE CVE-2020-7490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7490 - Référence CVE CVE-2020-7483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7483 - Référence CVE CVE-2020-7484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7484 - Référence CVE CVE-2020-7485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7485 - Référence CVE CVE-2020-7486
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7486 - Référence CVE CVE-2019-6852
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6852 - Référence CVE CVE-2019-6859
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6859
- Vues : 421