[SCADA] Multiples vulnérabilités dans les produits Schneider Electric (corrigées le 12 novembre 2019)
Version initiale de l'avis
12 novembre 2019
Source(s)
Voir Documentation
Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure
Qu'est-ce qu'un SCADA
Risque(s)
Exécution de code arbitraire à distance
Déni de service
Atteinte à la confidentialité des données
Injection de code indirecte à distance (XSS)
Systèmes affectés
Conext Control toutes versions
EcoStruxure Substation Operation Gateway, anciennement PACiS Gateway, versions antérieures à 3.606.100.600.1
Triconex TriStation Emulator Version 1.2.0
Toutes les variantes de EGX100:
EGX100SD
EGX100MG
EGX100SQD
EGX100SDR
EGX100M
EGX100MGAA
EGX100MGBA
EGX100MGBB
EGX100MGBC
Toutes les variantes de ECI850:
ECI850
ECI850MG
ConneXium Industrial Firewall/Router:
TCSEFEC2CF3F21 (MM/TX) versions antérieures à V5.33
TCSEFEC23FCF21 (TX/MM) versions antérieures à V5.33
TCSEFEC23F3F21 (TX/TX) versions antérieures à V5.33
Easergy Micom C264 versions antérieures à D5.24 – C264 D5.X, 1.79 – C264 D1.X et D4.25 – C264 D4.X
Modicon X80 modules d'I/O:
Modicon M580 IEC 61850 module
Modicon Network Option Switch
Modicon X80 - I/O Drop Adapters
Modicon X80 - BMEAHI0812 HART Analog Input Module
Modicon Momentum Unity
Modicon Quantum 140 CRA
Modicon Quantum Head 140 CRP
Modicon Quantum 140 NOP Communications Module
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
Bulletin de sécurité Schneider Electric SEVD-2019-267-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-267-01
Bulletin de sécurité Schneider Electric SEVD-2019-193-02 du 12 novembre 2019
https://download.schneider-electric.com ... 019-193-02
Bulletin de sécurité Schneider Electric SESB-2019-214-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-214-01
Bulletin de sécurité Schneider Electric SEVD-2019-193-01 du 12 novembre 2019
https://download.schneider-electric.com ... 019-193-01
Bulletin de sécurité Schneider Electric SEVD-2019-071-03 du 12 novembre 2019
https://download.schneider-electric.com ... 019-071-03
Bulletin de sécurité Schneider Electric SEVD-2019-134-07 du 12 novembre 2019
https://download.schneider-electric.com ... 019-134-07
Référence CVE CVE-2018-12126
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12126
Référence CVE CVE-2018-12127
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12127
Référence CVE CVE-2018-12130
http://cve.mitre.org/cgi-bin/cvename.cg ... 2018-12130
Référence CVE CVE-2018-7803
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7803
Référence CVE CVE-2018-7834
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7834
Référence CVE CVE-2019-0708
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-0708
Référence CVE CVE-2019-11091
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-11091
Référence CVE CVE-2019-1181
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1181
Référence CVE CVE-2019-1182
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1182
Référence CVE CVE-2019-1222
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1222
Référence CVE CVE-2019-1223
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1223
Référence CVE CVE-2019-1224
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1224
Référence CVE CVE-2019-1225
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1225
Référence CVE CVE-2019-1226
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-1226
Historique des alertes et avis sur le produit SCADA Schneider
Historique des alertes et avis sur les produits SCADA Schneider
Historique des alertes et avis sur les produits Schneider