CERTFR-2020-AVI-836 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric (21 décembre 2020)
Risque(s)
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- ATV340E Altivar Machine Drives versions antérieures à V3.2IE25
- ATV630/650/660/680/6A0/6B0 Altivar Process Drives versions antérieures à V3.3IE33
- ATV930/950/960/980/9A0/9B0 Altivar Process Drives versions antérieures
à V3.3IE26VW3A3720, VW3A3721 Altivar Process Communication Modules versions antérieures à V1.15IE25 APC Network Management Card 2 (NMC2) - AP9630/30CH/30J, AP9631/31CH/31J, AP9635/35CH, AP9537SUM versions antérieures à AOS V6.9.6 APC Network Management Card 3 (NMC3) - AP9640, AP9641 versions antérieures à AOS V1.4.0 TM3 Bus Coupler EIP firmware versions 2.1.50.2 et antérieures TM3 Bus Coupler SL firmware versions 2.0.50.2 et antérieures TM3 Bus Coupler CANOpen firmware versions 2.0.50.2 et antérieures
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2020-353-01 du 18 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-353-01/ - Bulletin de sécurité Schneider Electric SEVD-2020-353-02 du 18 décembre 2020
https://www.se.com/ww/en/download/document/SEVD-2020-353-02/ - Référence CVE CVE-2020-25066
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25066 - Référence CVE CVE-2020-27337
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27337 - Référence CVE CVE-2020-27338
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27338 - Référence CVE CVE-2020-27336
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27336
- Vues : 504