Assiste.Forums

[pierre]

[SCADA] Multiples vulnérabilités dans les produits Schneider Electric (corrigées le 12 novembre 2019)

Version initiale de l'avis
12 novembre 2019

Source(s)
Voir Documentation

Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure
Qu'est-ce qu'un SCADA

Risque(s)
Exécution de code arbitraire à distance
Déni de service
Atteinte à la confidentialité des données
Injection de code indirecte à distance (XSS)

Systèmes affectés
Conext Control toutes versions
EcoStruxure Substation Operation Gateway, anciennement PACiS Gateway, versions antérieures à 3.606.100.600.1
Triconex TriStation Emulator Version 1.2.0
Toutes les variantes de EGX100:
EGX100SD
EGX100MG
EGX100SQD
EGX100SDR
EGX100M
EGX100MGAA
EGX100MGBA
EGX100MGBB
EGX100MGBC
Toutes les variantes de ECI850:
ECI850
ECI850MG
ConneXium Industrial Firewall/Router:
TCSEFEC2CF3F21 (MM/TX) versions antérieures à V5.33
TCSEFEC23FCF21 (TX/MM) versions antérieures à V5.33
TCSEFEC23F3F21 (TX/TX) versions antérieures à V5.33
Easergy Micom C264 versions antérieures à D5.24 – C264 D5.X, 1.79 – C264 D1.X et D4.25 – C264 D4.X
Modicon X80 modules d'I/O:
Modicon M580 IEC 61850 module
Modicon Network Option Switch
Modicon X80 - I/O Drop Adapters
Modicon X80 - BMEAHI0812 HART Analog Input Module
Modicon Momentum Unity
Modicon Quantum 140 CRA
Modicon Quantum Head 140 CRP
Modicon Quantum 140 NOP Communications Module

Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et une atteinte à la confidentialité des données.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Schneider Electric SEVD-2019-267-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-267-01

Bulletin de sécurité Schneider Electric SEVD-2019-193-02 du 12 novembre 2019
https://download.schneider-electric.com ... 019-193-02

Bulletin de sécurité Schneider Electric SESB-2019-214-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-214-01

Bulletin de sécurité Schneider Electric SEVD-2019-193-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-193-01

Bulletin de sécurité Schneider Electric SEVD-2019-071-03 du 12 novembre 2019
https://download.schneider-electric.com ... 019-071-03

Bulletin de sécurité Schneider Electric SEVD-2019-134-07 du 12 novembre 2019
https://download.schneider-electric.com ... 019-134-07

Référence CVE CVE-2018-12126
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12126

Référence CVE CVE-2018-12127
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12127

Référence CVE CVE-2018-12130
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12130

Référence CVE CVE-2018-7803
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7803

Référence CVE CVE-2018-7834
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7834

Référence CVE CVE-2019-0708
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-0708

Référence CVE CVE-2019-11091
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-11091

Référence CVE CVE-2019-1181
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1181

Référence CVE CVE-2019-1182
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1182

Référence CVE CVE-2019-1222
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1222

Référence CVE CVE-2019-1223
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1223

Référence CVE CVE-2019-1224
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1224

Référence CVE CVE-2019-1225
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1225

Référence CVE CVE-2019-1226
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1226


Historique des alertes et avis sur le produit SCADA Schneider
Historique des alertes et avis sur les produits SCADA Schneider
Historique des alertes et avis sur les produits Schneider