CERTFR-2022-AVI-1001 : [SCADA] Multiples vulnérabilités dans les produits Siemens (08 novembre 2022)
Publié le 8 novembre 2022 13:17
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Parasolid versions antérieures à V34.0.254
- Parasolid versions antérieures à V34.1.244
- Parasolid versions antérieures à V35.0.184
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) versions antérieures à V2.50
- POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) versions antérieures à V2.50
- QMS Automotive toutes versions
- RUGGEDCOM ROS toutes versions
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) toutes versions
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) toutes versions
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) toutes versions
- SIMATIC Drive Controller family toutes versions
- SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) versions antérieures à V3.2.19
- SIMATIC PC Station versions antérieures à V2.1
- SIMATIC S7-1200 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) toutes versions
- SIMATIC S7-1500 Software Controller toutes versions
- SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) versions antérieures à V3.3.19
- SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-400 PN/DP V6 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-PLCSIM Advanced toutes versions
- SIMATIC WinCC Runtime Advanced toutes versions
- SINUMERIK MC toutes versions
- SINUMERIK ONE toutes versions
- SINUMERIK ONE toutes versions
- SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) versions antérieures à V3.2.19
- SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) versions antérieures à V3.3.19
- SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) versions antérieures à V3.2.19
- SINEC NMS versions antérieures à 1.0.3
- JT2Go versions antérieures à V14.1.0.4
- Teamcenter Visualization V13.3 versions antérieures à V13.3.0.7
- Teamcenter Visualization V14.0 versions antérieures à V14.0.0.3
- Teamcenter Visualization V14.1 versions antérieures à V14.1.0.4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation