Objet: Multiples vulnérabilités dans les produits Siemens

Risques

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Exécution de code arbitraire à distance
• Injection de code indirecte à distance (XSS)
• Élévation de privilèges

Systèmes affectés

• Automation License Manager versions antérieures à V6.0.8
• Desigo CC Compact versions V3.x sans le dernier correctif de sécurité
• Desigo CC Compact versions V4.x sans le dernier correctif de sécurité
• Desigo CC versions V3.x sans le dernier correctif de sécurité
• Desigo CC versions V4.x sans le dernier correctif de sécurité
• microgiciel SICAM WEB pour SICAM A8000 RTUs versions antérieures à V05.30
• RUGGEDCOM RM1224 versions antérieures à 6.3
• SCALANCE M-800 / S615 versions antérieures à 6.3
• SIMATIC RF350M
• SIMATIC RF650M
• SIMOTICS CONNECT 400

Documentation

• Bulletin de sécurité Siemens ssa-370042 du 11 août 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-370042.pdf
• Bulletin de sécurité Siemens ssa-388646 du 11 août 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-388646.pdf
• Bulletin de sécurité Siemens ssa-712518 du 11 août 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-712518.pdf
• Bulletin de sécurité Siemens ssa-786743 du 11 août 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-786743.pdf
• Bulletin de sécurité Siemens ssa-809841 du 11 août 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-809841.pdf
• Référence CVE CVE-2019-15126
https://www.cve.org/CVERecord?id=CVE-2019-15126
• Référence CVE CVE-2020-10055
https://www.cve.org/CVERecord?id=CVE-2020-10055
• Référence CVE CVE-2020-15781
https://www.cve.org/CVERecord?id=CVE-2020-15781
• Référence CVE CVE-2020-7583
https://www.cve.org/CVERecord?id=CVE-2020-7583
• Référence CVE CVE-2020-8597
https://www.cve.org/CVERecord?id=CVE-2020-8597