Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Automation License Manager 5
  • Automation License Manager 6 versions antérieures à V6.0 SP9 Update 2
  • de nombreux produits SIMATIC et SINUMERIK (cf. avis de sécurité ssa-309571)
  • SGT-100, SGT-200, SGT-300, SGT-400, SGT-A20, SGT-A35 et SGT-A65
  • SIMATIC Drive Controller family versions antérieures à V2.9.2
  • SIMATIC ET 200SP Open Controller CPU 515SP PC2 (incl. SIPLUS variants)
  • SIMATIC NET CP 1543-1 (incl. SIPLUS NET variants) versions antérieures à V3.0
  • SIMATIC NET CP 1545-1
  • SIMATIC S7 PLCSIM Advanced versions antérieures à V4
  • SIMATIC S7-1200 CPU family (incl. SIPLUS variants) versions V4.4.x antérieures à V4.4.1
  • SIMATIC S7-1200 CPU family (incl. SIPLUS variants) versions V4.5.x antérieures à V4.5.1
  • SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) versions antérieures à V2.9.2
  • SIMATIC S7-1500 Software Controller
  • SINEC NMS versions antérieures à V1.0 SP2
  • Solid Edge SE2021 versions antérieures à SE2021MP7
  • T2Go versions antérieures à V13.2.0.2
  • Teamcenter Visualization versions antérieures à V13.2.0.2
  • TIM 1531 IRC (incl. SIPLUS NET variants) versions antérieures à V2.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation