S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 juillet 2021
N° CERTFR-2021-AVI-518
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2021-AVI-518
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version13 juillet 2021
Date de la dernière version13 juillet 2021
Source(s) Bulletin de sécurité Siemens ssa-173615 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-209268 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-352521 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-373591 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-434535 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-434536 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-483182 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-560465 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-599968 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-622535 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-641963 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-661034 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-675303 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-729965 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-772220 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-913875 du 13 juillet 2021
Bulletin de sécurité Siemens ssa-941426 du 13 juillet 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Development/Evaluation Kits for PROFINET IO:DK Standard Ethernet Controller, EK-ERTEC 200 ET EK-ERTEC 200P toutes les versions
  • JT Utilities toutes les versions antérieures à 13.0.2.0
  • JT2Go toutes les versions antérieures à 13.2
  • Les produits Mendix, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits RUGGEDCOM, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SCALANCE, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SIMATIC, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SINAMICS, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SINUMERIK, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits Teamcenter, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • PSS CAPE Protection Simulation Platform:CAPE 14 installé avant le 16 juin
  • RWG1.M12 toutes les versions
  • RWG1.M12D toutes les versions
  • RWG1.M8 toutes les versions
  • SICAM 230 toutes les versions
  • SIMIT Simulation Platform toutes les versions
  • SIMOCODE proV Ethernet/IP toutes les versions antérieures à 1.1.3
  • SIMOCODE proV PROFINET toutes les versions antérieures à 2.1.3
  • SINEC INS toutes les versions
  • SINEC NMS:V1.0 SP1, V1.0 SP1 antérieures à version V1.0 SP2
  • SINEC PNI toutes les versions
  • SINEMA Remote Connect Server toutes les versions
  • SINEMA Server V14.0.2.x
  • SOFTNET-IE PNIO toutes les versions
  • Solid Edge SE2021 toutes les versions antérieures à SE2021MP5
  • TIA Administrator toutes les versions
  • TIM 1531 IRC (incl. SIPLUS NET variants) toutes les versions antérieures à 2.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 juillet 2021
    Version initiale