Assiste.Forums

[pierre]

[SCADA] Multiples vulnérabilités dans les produits Schneider (corrigées le 12 octobre 2020)

Version initiale de l'avis
12 octobre 2020

Source(s)
Voir Documentation

Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure

Qu'est-ce qu'un SCADA

Risque(s)
Exécution de code arbitraire à distance
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Élévation de privilèges

Systèmes affectés
Modicon M221 toutes références et toutes versions
Easergy T300 versions antérieures à 2.7
PLC Simulator for EcoStruxure Control Expert toutes versions
PLC Simulator for Unity Pro (anciennement EcoStruxure Control Expert) toutes versions
M340 CPUs BMX P34x toutes versions
M340 modules de communication Ethernet (BMX NOE 0100 (H), BMX NOE 0110 (H), BMX NOC 0401, BMX NOR 0200H) toutes versions
Premium processors avec Ethernet COPRO intégré (TSXP574634, TSXP575634, TSXP576634) toutes versions
Premium communication modules (TSXETY4103, TSXETY5103) toutes versions
Quantum processors avec Ethernet COPRO intégré 140CPU65xxxxx toutes versions
Quantum communication modules (140NOE771x1, 140NOC78x00, 140NOC77101) toutes versions
EcoStruxure Operator Terminal Expert Runtime 3.1 Service Pack 1A et versions antérieures (les ordinateurs Windows utilisant un UEFI ne sont pas impactés)
IGSS Definition (Def.exe) version 14.0.0.20247 et versions antérieures
EcoStruxure Building Operation - WebReports versions v1.9 à v3.1
EcoStruxure Building Operation - WebStation versions v2.0 à v3.1
EcoStruxure Building Operation - Enterprise Server installer versions v1.9 à v3.1
EcoStruxure Building Operation - Enterprise Central installer versions v2.0 à v3.1
Trio Q toutes versions
J Data Radios toutes versions

Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Schneider Electric SESB-2020-315-01 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-01/

Bulletin de sécurité Schneider Electric SEVD-2020-315-01 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-01/

Bulletin de sécurité Schneider Electric SEVD-2020-315-02 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-02/

Bulletin de sécurité Schneider Electric SEVD-2020-315-03 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-03/

Bulletin de sécurité Schneider Electric SEVD-2020-315-04 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-04/

Bulletin de sécurité Schneider Electric SEVD-2020-315-05 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-05/

Bulletin de sécurité Schneider Electric SEVD-2020-315-06 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-06/

Bulletin de sécurité Schneider Electric SEVD-2020-315-07 du 11 novembre 2020
https://www.se.com/ww/en/download/docum ... 20-315-07/

Référence CVE CVE-2020-7562
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7562

Référence CVE CVE-2020-7563
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7563

Référence CVE CVE-2020-7564
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7564

Référence CVE CVE-2020-7544
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7544

Référence CVE CVE-2020-7550
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7550

Référence CVE CVE-2020-7551
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7551

Référence CVE CVE-2020-7552
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7552

Référence CVE CVE-2020-7553
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7553

Référence CVE CVE-2020-7554
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7554

Référence CVE CVE-2020-7555
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7555

Référence CVE CVE-2020-7556
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7556

Référence CVE CVE-2020-7557
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7557

Référence CVE CVE-2020-7558
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7558

Référence CVE CVE-2020-7570
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7570

Référence CVE CVE-2020-7571
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7571

Référence CVE CVE-2020-7572
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7572

Référence CVE CVE-2020-7565
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7565

Référence CVE CVE-2020-7566
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7566

Référence CVE CVE-2020-7567
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7567

Référence CVE CVE-2020-7561
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7561

Référence CVE CVE-2020-7559
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7559

Référence CVE CVE-2020-7538
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-7538

Référence CVE CVE-2020-28211
http://cve.mitre.org/cgi-bin/cvename.cg ... 2020-28211

Référence CVE CVE-2020-28212
http://cve.mitre.org/cgi-bin/cvename.cg ... 2020-28212

Référence CVE CVE-2020-28213
http://cve.mitre.org/cgi-bin/cvename.cg ... 2020-28213



Historique des alertes et avis sur le produit SCADA Schneider
Historique des alertes et avis sur les produits SCADA Schneider
Historique des alertes et avis sur les produits Schneider