S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 mai 2021
N° CERTFR-2021-AVI-357
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2021-AVI-357
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version11 mai 2021
Date de la dernière version11 mai 2021
Source(s) Bulletin de sécurité Siemens du 11 mai 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • MENDIX Database Replication versions antérieures à 7.0.1
  • MENDIX module Excel Importer versions antérieures à 9.0.3
  • RUGGEDCOM RM1224 versions antérieures à 6.4
  • SCALANCE W1750D versions v8.3.0.1, v8.6.0 et v8.7.0
  • SCALANCE XM-400, XR-500, M-800, S615 versions antérieures à 6.4
  • SIMATIC Cloud Connect 7 toutes versions
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 toutes versions
  • SIMATIC Field PG M5 versions antérieures à 22.01.08
  • SIMATIC Field PG M6 toutes versions
  • SIMATIC HMI versions antérieures à 16 update 4
  • SIMATIC IPC127E, IPC427E, IPC477E, IPC527G, IPC547G toutes versions
  • SIMATIC IPC627E, IPC647E, IPC677E, IPC847E versions antérieures à 25.02.08
  • SIMATIC ITP1000 versions antérieures à 23.01.08
  • SIMATIC MV500 toutes versions
  • SIMATIC NET CP 1243-1, CP 1243-7, CP 1243-8 versions 3.1.39 et ultérieures
  • SIMATIC NET CP 1542, CP 1543-1 versions 2.0 et ultérieures
  • SIMATIC NET CP 1545-1, CP 343-1 toutes versions
  • SIMATIC S7-1500 CPU 1518-4 ou 1518F-4 toutes versions
  • SIMATIC WinCC runtime advanced versions antérieures à 16 update 4
  • SINAMICS GH150, GL150 (X30), GM150 (X30), SH150, SM120 avec les versions de HMI Panel antérieures à v16 update 4
  • SINAMICS SL150, SM150, SM150i toutes versions
  • SINEMA Remote Connect Server versions antérieures à 3.0 SP1
  • SINUMERIK 828D HW PPU.4, MC MCU 170 toutes versions
  • SINUMERIK ONE 840D et PPU 1740 toutes versions
  • TECNOMATIX Plan Simulation versions antérieures à 16.0.5
  • TIM 1531 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 mai 2021
    Version initiale