S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 juillet 2020
N° CERTFR-2020-AVI-439
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2020-AVI-439
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version15 juillet 2020
Date de la dernière version15 juillet 2020
Source(s) Bulletin de sécurité Siemens SSA-305120 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-364335 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-508982 du 10 mars 2020, mis à jour le 14 juillet 2020
Bulletin de sécurité Siemens SSA-573753 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-589181 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-604937 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-631949 du 14 juillet 2020
Bulletin de sécurité Siemens SSA-841348 du 14 juillet 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • Camstar Enterprise Platform : une migration vers Opcenter Execution Core 8.2 est requise
  • LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.81.04
  • LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.82.03
  • LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.82.04
  • Opcenter Execution Core versions antérieures à v8.2
  • Opcenter Execution Discrete versions antérieures à v3.2
  • Opcenter Execution Foundation versions antérieures à v3.2
  • Opcenter Execution Process versions antérieures à v3.2
  • Opcenter Intelligence
  • Opcenter Quality versions antérieures à 11.3
  • Opcenter RD&L versions antérieures à 8.1
  • SICAM MMU versions antérieures à V2.05
  • SICAM SGU
  • SICAM T versions antérieures à V2.18
  • SIMATIC HMI Basic Panels première et seconde génération, Comfort Panels, Mobile Panels de seconde génération (incl. variantes SIPLUS)
  • SIMATIC HMI KTP700F Mobile Arctic
  • SIMATIC IT LMS, Production Suite, Notifier Server for Windows, PCS neo
  • SIMATIC S7-200 SMART CPU versions antérieures à V2.5.1
  • SIMATIC S7-300 CPU (incl. variantes ET200CPUs et SIPLUS) versions antérieures à V3.X.17
  • SIMATIC STEP 7 (TIA Portal) v15
  • SIMATIC STEP 7 (TIA Portal) v16 versions antérieures à V16 update 2
  • SIMATIC TDC CP51M1 versions antérieures à V1.1.8
  • SIMATIC TDC CPU555 versions antérieures à V1.1.1
  • SIMATIC WinCC Runtime Advanced
  • SIMOCODE ES et Soft Starter ES
  • SINUMERIK 840D sl versions antérieures à V4.8.6
  • SINUMERIK 840D sl versions antérieures à V4.94
  • SPPA-T3000 APC UPS avec carte NMC AP9630 ou AP9631
  • SPPA-T3000 Application Server et Terminal Server

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2020
    Version initiale