CERTFR-2023-AVI-0126 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric (15 février 2023)
Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- EcoStruxure TM Geo SCADA Expert 2019 sans le
dernier correctif de sécurité d'octobre 2022EcoStruxure TM Geo SCADA Expert 2020 sans le dernier correctif de sécurité d'octobre 2022 EcoStruxure TM Geo SCADA Expert 2021 sans le dernier correctif de sécurité d'octobre 2022 StruxureWare DataCenter Expert versions antérieures à V7.9.3 Merten INSTABUS Tastermodul 1fach System M version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres Merten INSTABUS Tastermodul 2fach System M version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres Merten Tasterschnittstelle 4fach plus version du programme 1.0 et 1.2 si une taille de la clé BCU est inférieure à 8 chiffres Merten KNX ARGUS 180/2,20M UP SYSTEM version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB version du programme 1.0 si une taille de la clé BCU est inférieure à 8 chiffres Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W version du programme 1.0 et 1.1 si une taille de la clé BCU est inférieure à 8 chiffres Merten KNX Schaltakt.2x6A UP m.2 Eing. version du programme 0.1 si une taille de la clé BCU est inférieure à 8 chiffres
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2023-045-03 du 14 février 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-03.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-045-02 du 14 février 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-02.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-045-01 du 14 février 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-045-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-045-01.pdf - Référence CVE CVE-2023-25556
https://www.cve.org/CVERecord?id=CVE-2023-25556 - Référence CVE CVE-2023-25547
https://www.cve.org/CVERecord?id=CVE-2023-25547 - Référence CVE CVE-2023-25548
https://www.cve.org/CVERecord?id=CVE-2023-25548 - Référence CVE CVE-2023-25552
https://www.cve.org/CVERecord?id=CVE-2023-25552 - Référence CVE CVE-2023-25554
https://www.cve.org/CVERecord?id=CVE-2023-25554 - Référence CVE CVE-2023-25549
https://www.cve.org/CVERecord?id=CVE-2023-25549 - Référence CVE CVE-2023-25550
https://www.cve.org/CVERecord?id=CVE-2023-25550 - Référence CVE CVE-2023-25551
https://www.cve.org/CVERecord?id=CVE-2023-25551 - Référence CVE CVE-2023-25553
https://www.cve.org/CVERecord?id=CVE-2023-25553 - Référence CVE CVE-2023-25555
https://www.cve.org/CVERecord?id=CVE-2023-25555 - Référence CVE CVE-2023-0595
https://www.cve.org/CVERecord?id=CVE-2023-0595
- Vues : 337