Objet: Multiples vulnérabilités dans SCADA les produits Siemens

Risques

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Déni de service à distance
• Élévation de privilèges

Systèmes affectés

• SINAMICS GH150 V4.7 avec PROFINET versions antérieures à V4.7 SP5 HF7 ou V4.8 SP2
• SINAMICS GL150 V4.7 avec PROFINET versions antérieures à V4.8 SP2
• SINAMICS GM150 V4.7 avec PROFINET versions antérieures à V4.8 SP2
• SINAMICS SL150 V4.7.0 avec PROFINET versions antérieures à V4.7 HF30 ou V4.8 SP2
• SINAMICS SL150 V4.7.4 avec PROFINET versions antérieures à V4.8 SP2
• SINAMICS SL150 V4.7.5 avec PROFINET versions antérieures à V4.8 SP2
• SINAMICS SM120 V4.7 avec PROFINET versions antérieures à V4.8 SP2
• Siveillance VMS 2016 R1 versions antérieures à V10.0a
• Siveillance VMS 2016 R2 versions antérieures à V10.1a
• Siveillance VMS 2016 R3 versions antérieures à V10.2b
• Siveillance VMS 2017 R1 versions antérieures à V11.1a
• Siveillance VMS 2017 R2 versions antérieures à V11.2a
• Siveillance VMS 2018 R1 versions antérieures à V12.1a
• Siveillance VMS Video pour Android versions antérieures à V12.1a (2018 R1)
• Siveillance VMS Video pour iOS versions antérieures à V12.1a (2018 R1)

Documentation

• Bulletin de sécurité SCADA Siemens ssa-457058 du 03 mai 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-457058.pdf
• Bulletin de sécurité SCADA Siemens ssa-468514 du 03 mai 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-468514.pdf
• Bulletin de sécurité SCADA Siemens ssa-546832 du 03 mai 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-546832.pdf
• Référence CVE CVE-2017-12741
https://www.cve.org/CVERecord?id=CVE-2017-12741
• Référence CVE CVE-2017-2680
https://www.cve.org/CVERecord?id=CVE-2017-2680
• Référence CVE CVE-2018-4849
https://www.cve.org/CVERecord?id=CVE-2018-4849
• Référence CVE CVE-2018-7891
https://www.cve.org/CVERecord?id=CVE-2018-7891