Vulnérabilités dans les produits industriels de Schneider Electric

TitreVulnérabilités dans les produits industriels de Schneider Electric
Numéro de Référence
52021701/25
Date de publication
17 janvier 2025
Niveau de Risque
Important
Niveau d'Impact
Important

Systèmes affectés:

  • Zelio Soft 2 toutes versions 

  • Vijeo Designer toutes versions 

  • Pro-face Remote HMI toutes versions 

  • Pro-face GP-Pro EX toutes versions 

  • Modicon Quantum communication modules 140CRA 140CRA31908 toutes versions 

  • Modicon Quantum communication modules 140CRA 140CRA31200 toutes versions 

  • Modicon M580/Quantum communication modules BMXCRA BMXCRA31210 toutes versions 

  • Modicon M580/Quantum communication modules BMXCRA BMXCRA31200 toutes versions 

  • Modicon M580 communication modules BMENOC BMENOC0321 versions antérieures à 1.10

  • Modicon M580 communication modules BMECRA BMECRA31210 toutes versions 

  • Modicon M580 CPU Safety (part numbers BMEP58*S et BMEH58*S) versions antérieures à 4.21 

  • Modicon M580 CPU (part numbers BMEP* et BMEH*, excluding M580 CPU Safety) versions antérieures à 4.30 

  • Modicon M340 processors (part numbers BMXP34*) toutes versions 

  • EcoStruxureTM Process Expert toutes versions 

  • EcoStruxureTM Machine SCADA Expert Asset Link toutes versions 

  • EcoStruxureTM Control Expert versions antérieures à 16.1

  • EcoStruxureTM Control Expert Asset Link versions antérieures à 4.0 SP1 

  • EcoStruxure Operator Terminal Expert toutes versions 

  • EcoStruxure OPC UA Server Expert toutes versions 

  • EcoStruxure Machine Expert including EcoStruxureTM Machine Expert Safety toutes versions 

  • EcoStruxure Machine Expert Twin toutes versions 

  • EcoStruxure Architecture Builder versions antérieures à 7.0.18

  • EVLink Pro AC versions antérieures à 1.3.10

  • BMXNOR0200H versions antérieures à 1.70IR26

  • BMXNOE0110 toutes versions 

  • BMXNOE0100 toutes versions 

  • BMENOR2200H toutes versions 

Identificateurs externes:

  • CVE-2021-29999 CVE-2024-11139 CVE-2024-11425 CVE-2024-12142 

  • CVE-2024-12399 CVE-2024-2658 

Bilan de la vulnérabilité:

Plusieurs vulnérabilités ont été corrigées dans les produits industriels susmentionnés de Schneider Electric. L’exploitation de ces failles permet à un attaquant d’exécuter du code arbitraire à distance, de causer un déni de service et de contourner la politique de sécurité afin d'obtenir un accès non autorisé. 

Solution:

Veuillez se référer au bulletin de sécurité Schneider Electric du 14 janvier 2025, afin d’installer les dernières mises à jour.

Risque:

  • Atteinte à la confidentialité des données

  • Contournement de la politique de sécurité

  • Exécution du code arbitraire

  • Déni de service

Référence:

Bulletin de sécurité Schneider Electric du 14 janvier 2025:

Brochure:

Vulnérabilités dans les produits industriels de Schneider Electric.pdf

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2025 All rights reserved