Accéder au contenu principal

AVIS DE SÉCURITÉ

AVIS DE SÉCURITÉ

AVIS DE SÉCURITÉ

Rédigé le . Publié dans Avis de Sécurité.

CERTFR-2021-AVI-853 : [SCADA] Multiples vulnérabilités dans les produits Schneider (09 novembre 2021)

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • SCADAPack 312E, 313E, 314E, 330E, 333E,
334E, 337E, 350E et 357E RTUs avec le firmware V8.18.1 et antérieures
  • Schneider Electric Software Update, V2.3.0 à V2.5.1
  • Network Management Card 2 (NMC2)
  • Network Management Card 3 (NMC3)
  • NMC embedded devices
  • EcoStruxure Process Expert versions antérieures à V2021
  • TelevisAir V3.0 Dongle BTLE (part number ADBT42* et antérieures)
  • Eurotherm by Schneider Electric GUIcon Version 2.0 (Build 683.003) et antérieures
  • BMECRA31210, BMXCRA31200, BMXCRA31210, 140CRA31200, 140CRA31908 toutes versions
  • BMXNOE0100, BMXNOE0110, BMXNGD0100, BMXNOC0401 toutes versions
  • BMENOC0321, BMENOC0301, BMENOC0311, BMENOS0300 toutes versions
  • BMENOP0300, BMXNOR0200 toutes versions
  • BMXNOM0200 toutes versions
  • Easy Harmony GXU (HMIGXU Series) et Easy Harmony ET6 (HMIET Series) Vijeo Designer Basic V1.2 family et antérieures
  • E+PLC400 toutes versions
  • EPC2000 toutes versions
  • EPack toutes versions
  • HMISCU,HMIGTU, HMIG2U, HMIG3U, HMIG3X, HMIGTO Series Vijeo Designer (V6.2 SP11) family et antérieures
  • HMISTO Series HMISTU/S5T Series toutes versions
  • Modicon LMC078 toutes versions
  • Modicon M262 Logic Controllers firmware version 5.1.5.35 et antérieures
  • Modicon M241/M251 Logic Controllers firmware version 5.1.9.21 et antérieures
  • Modicon M580 CPU (BMEP* and BMEH*), Modicon M340 CPU (BMXP34*), BMXNOM0200 toutes versions
  • Momentum MDI (171CBU*), MC80 (BMKC8*), HART (BMEAH*) toutes versions
  • Momentum ENT (170ENT11*) toutes versions
  • nanodac toutes versions
  • Pro-face GP4000 Series, LT4000M Series, GP4000H Series GP-Pro EX V4.09.300 et antérieures
  • Pro-face GP4100 Series, GP4000E Series, GP4000M Series toutes versions
  • Pro-face SP-5B00, SP-5B10, SP-5B90, ST6000 Series (GP-ProEX model), ET6000 Series GP-Pro EX V4.09.300 et antérieures
  • SCD6000 Industrial RTU Version antérieures à SCD6000 is SY-1101211_Mand
  • Tricon Communication Modules versions antérieures à 11.8
  • TCSEGPA23F14F, BMECXM0100 toutes versions
  • T2750 PAC, toutes versions
  • versadac, toutes versions
  • 6100A, 6180A, 6100XIO, 6180XIO, AeroDAQ toutes versions

    • Résumé

    De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

    Solution

    Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

    Documentation

    • Vues : 225