[SCADA] Multiples vuln produits Schneider (13.07.21)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

[SCADA] Multiples vuln produits Schneider (13.07.21)

Messagede pierre » 13 Juil 2021, 17:12

[SCADA] Multiples vulnérabilités dans les produits Schneider (corrigées le 13 juillet 2021)

Version initiale de l'avis
13 juillet 2021

Source(s)
Voir Documentation

CVE ? | Full disclosure ? | Zero Day ? | Tromperie et Full disclosure ? | UCheck

Qu'est-ce qu'un SCADA

Risque(s)
Exécution de code arbitraire
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés
EcoStruxure Control Expert toutes versions (versions Unity Pro inclus) antérieures 15.0 SP1
EcoStruxure Control Expert version antérieures à V15.0 SP1 sans le dernier correctif
EcoStruxure Process Expert toutes versions (versions EcoStruxure Hybrid DCS inclus)
SCADAPack RemoteConnect for x70 toutes versions
Modicon M580 CPU (part numbers BMEP* et BMEH*) toutes versions
Modicon M340 CPU (part numbers BMXP34*) toutes versions
SoSafe Configurable versions antérieures à 1.8.1
C-Bus Toolkit versions antérieures à 1.15.9
Easergy T300 avec un microgiciel (firmware) en versions antérieures à 2.8
Easergy T200 (Modbus) versions antérieures à SC2-04MOD-07000103
Easergy T200 (IEC104) versions antérieures à SC2-04IEC-07000103
Easergy T200 (DNP3) versions antérieures à SC2-04DNP-07000103
EVlink CityEVC1S22P4 / EVC1S7P4 versions antérieures à R8 V3.4.0.1
EVlink ParkingEVW2 / EVF2 / EV.2 versions antérieures à R8 V3.4.0.1
EVlink Smart WallboxEVB1A versions antérieures à R8 V3.4.0.1

Note : Actuellement, aucun correctif n'est proposé pour les vulnérabilités dans les produits EcoStruxure Process Expert, Modicon M580, Modicon M340 et SCADAPack. Cependant des mesures de contournement sont proposées par l'éditeur pour les produits Modicon M580 et M340 afin de réduire le risque et l'impact d'exploitation de la CVE-2021-22779.

Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un dénis de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Schneider SEVD-2021-194-02 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-02

Bulletin de sécurité Schneider SEVD-2021-194-03 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-03

Bulletin de sécurité Schneider SEVD-2021-194-04 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-04

Bulletin de sécurité Schneider SEVD-2021-194-05 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-05

Bulletin de sécurité Schneider SEVD-2021-194-06 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-06

Bulletin de sécurité Schneider SEVD-2021-194-01 du 13 juillet 2021
https://download.schneider-electric.com ... 021-194-01

Référence CVE CVE-2021-22778
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22778

Référence CVE CVE-2021-22779
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22779

Référence CVE CVE-2021-22780
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22780

Référence CVE CVE-2021-22781
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22781

Référence CVE CVE-2021-22782
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22782

Référence CVE CVE-2020-12525
http://cve.mitre.org/cgi-bin/cvename.cg ... 2020-12525

Référence CVE CVE-2021-22769
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22769

Référence CVE CVE-2021-22770
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22770

Référence CVE CVE-2021-22771
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22771

Référence CVE CVE-2021-22777
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22777

Référence CVE CVE-2021-22784
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22784

Référence CVE CVE-2021-22772
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22772

Référence CVE CVE-2021-22706
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22706

Référence CVE CVE-2021-22707
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22707

Référence CVE CVE-2021-22708
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22708

Référence CVE CVE-2021-22721
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22721

Référence CVE CVE-2021-22722
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22722

Référence CVE CVE-2021-22723
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22723

Référence CVE CVE-2021-22726
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22726

Référence CVE CVE-2021-22727
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22727

Référence CVE CVE-2021-22728
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22728

Référence CVE CVE-2021-22729
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22729

Référence CVE CVE-2021-22730
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22730

Référence CVE CVE-2021-22773
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22773

Référence CVE CVE-2021-22774
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-22774



Historique des alertes et avis sur le produit SCADA Schneider
Historique des alertes et avis sur les produits SCADA Schneider
Historique des alertes et avis sur les produits Schneider

Observation de la synchronisation des alertes et avis sur les SCADA, toutes marques confondues
Remarques sur la synchronisation des avis et alertes sur les SCADA, toutes marques confondues
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29448
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 28 invités