Avis de sécurité

Avis de sécurité


CERTFR-2022-AVI-1001 : [SCADA] Multiples vulnérabilités dans les produits Siemens (08 novembre 2022)

Publié le 8 novembre 2022 13:17

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Parasolid versions antérieures à V34.0.254
  • Parasolid versions antérieures à V34.1.244
  • Parasolid versions antérieures à V35.0.184
  • POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) versions antérieures à V2.50
  • POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) versions antérieures à V2.50
  • QMS Automotive toutes versions
  • RUGGEDCOM ROS toutes versions
  • SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) toutes versions
  • SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) toutes versions
  • SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) toutes versions
  • SIMATIC Drive Controller family toutes versions
  • SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) versions antérieures à V3.2.19
  • SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) versions antérieures à V3.2.19
  • SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) versions antérieures à V3.2.19
  • SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) versions antérieures à V3.2.19
  • SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) versions antérieures à V3.2.19
  • SIMATIC PC Station versions antérieures à V2.1
  • SIMATIC S7-1200 CPU family (incl. SIPLUS variants) toutes versions
  • SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) toutes versions
  • SIMATIC S7-1500 Software Controller toutes versions
  • SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) versions antérieures à V3.3.19
  • SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) versions antérieures à V3.2.19
  • SIMATIC S7-400 PN/DP V6 CPU family (incl. SIPLUS variants) toutes versions
  • SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) toutes versions
  • SIMATIC S7-PLCSIM Advanced toutes versions
  • SIMATIC WinCC Runtime Advanced toutes versions
  • SINUMERIK MC toutes versions
  • SINUMERIK ONE toutes versions
  • SINUMERIK ONE toutes versions
  • SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) versions antérieures à V3.2.19
  • SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) versions antérieures à V3.2.19
  • SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) versions antérieures à V3.3.19
  • SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) versions antérieures à V3.2.19
  • SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) versions antérieures à V3.2.19
  • SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) versions antérieures à V3.2.19
  • SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) versions antérieures à V3.2.19
  • SINEC NMS versions antérieures à 1.0.3
  • JT2Go versions antérieures à V14.1.0.4
  • Teamcenter Visualization V13.3 versions antérieures à V13.3.0.7
  • Teamcenter Visualization V14.0 versions antérieures à V14.0.0.3
  • Teamcenter Visualization V14.1 versions antérieures à V14.1.0.4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

LIENS ASSOCIES


Inscrivez-vous à la newsletter CSIRT pour recevoir périodiquement les publications

Contact

contact@csirt-universitaire.org
+221 78 601 64 64
BP: XXX - Sénégal