Vulnérabilités corrigées dans les produits Schneider Electric (AL02/240709/CSIRT-ITA)

Synthèse

De nouvelles vulnérabilités présentes dans certains produits – dont SCADA – de Schneider Electric ont été corrigées, dont une de gravité « critique » et 4 de gravité « élevée ».

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (69,61/100)¹.

Typologie

• Denial of Service
• Information Disclosure
• Privilege Escalation
• Remote Code Execution

Produits et/ou versions concernés

• Wiser Home Controller WHC-5918A
• EcoStruxure Foxboro DCS
• EcoStruxure Foxboro SCADA FoxRTU Station

Mesures d’atténuation

Conformément aux déclarations de l’éditeur, il est recommandé de mettre à jour les produits vulnérables en suivant les indications des bulletins de sécurité rapportés dans la section Références.

Identificateurs de vulnérabilité uniques

Vous trouverez ci-dessous les seuls CVE relatifs aux vulnérabilités de gravité « critique » et « élevée » :

CVE-2024-6407

CVE-2024-5679

CVE-2024-5680

CVE-2024-5681

CVE-2024-2602

Références

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-01.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-02.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-03.pdf

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.