Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • EN100 Ethernet module DNP3
  • EN100 Ethernet module IEC 61850 versions antérieures à V4.37
  • EN100 Ethernet module IEC104
  • EN100 Ethernet module Modbus TCP
  • EN100 Ethernet module PROFINET IO
  • Famille de commutateurs SCALANCE X-200 et les variantes SIPLUSNET versions antérieures à V5.2.4
  • Famille de commutateurs SCALANCE X-200IRT et les variantes SIPLUSNET versions antérieures à V5.4.2
  • RUGGEDCOM ROS RMC8388
  • RUGGEDCOM ROS RSG2488
  • RUGGEDCOM ROS RSG920P
  • RUGGEDCOM ROS RSG9xx R/C
  • RUGGEDCOM ROS RSL910
  • RUGGEDCOM ROS RST2228
  • SCALANCE W1700 versions antérieures à V1.1
  • SCALANCE W700 versions antérieures à V6.4
  • SIMATIC CP 1626
  • SIMATIC HMI Panel
  • SIMATIC NET PC
  • SIMATIC S7-1200 CPU
  • SIMATIC S7-200 SMART CPU
  • SIMATIC STEP 7 (TIA Portal) versions antérieures à V16
  • SIMATIC WinCC (TIA Portal) versions antérieures à V16
  • SIMATIC WinCC OA
  • SIMATIC WinCC OA versions antérieures à 3.16 patch version 13
  • SIMATIC WinCC Runtime Advanced
  • SIMATIC WinCC Runtime Professional
  • SiNVR 3 Central Control Server (CCS)
  • SiNVR 3 Video Server
  • SPPA-T3000 Application Server versions antérieures à Service Pack R8.2 SP1
  • SPPA-T3000 MS3000 Migration Server
  • TIM 1531 IRC
  • XHQ versions antérieures à V6.0.0.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation