S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 novembre 2021
N° CERTFR-2021-AVI-854
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2021-AVI-854
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version09 novembre 2021
Date de la dernière version09 novembre 2021
Source(s) Bulletin de sécurité Siemens ssa-044112 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-114589 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-145157 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-185699 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-201384 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-248289 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-328042 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-338732 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-362164 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-537983 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-580693 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-703715 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-705111 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-740908 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-755517 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-779699 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-840188 du 9 novembre 2021
Bulletin de sécurité Siemens ssa-917476 du 9 novembre 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • APOGEE MBC (PPC) (BACnet) toutes versions
  • APOGEE MBC (PPC) (P2 Ethernet) toutes versions
  • APOGEE MEC (PPC) (BACnet) toutes versions
  • APOGEE MEC (PPC) (P2 Ethernet) toutes versions
  • APOGEE PXC Compact (BACnet) toutes versions
  • APOGEE PXC Compact (P2 Ethernet) toutes versions
  • APOGEE PXC Modular (BACnet) toutes versions
  • APOGEE PXC Modular (P2 Ethernet) toutes versions
  • Capital VSTAR toutes versions
  • Capital VSTAR versions incluant les modules DNS
  • Climatix POL909 (AWM module) toutes versions antérieures à V11.34
  • Mendix Applications using Mendix 7 toutes versions antérieures à V7.23.26
  • Mendix Applications using Mendix 8 toutes versions antérieures à V8.18.13
  • Mendix Applications using Mendix 9 toutes versions antérieures à V9.6.2
  • Nucleus NET toutes versions
  • Nucleus ReadyStart V3 toutes versions antérieures à V2012.12
  • Nucleus ReadyStart V3 toutes versions antérieures à V2013.08
  • Nucleus ReadyStart V3 toutes versions antérieures à V2017.02.4
  • Nucleus ReadyStart V4 toutes versions antérieures à V4.1.1
  • Nucleus Source Code toutes versions
  • Nucleus Source Code versions incluant les modules DNS
  • NX 1953 Series toutes versions antérieures à V1973.3700
  • NX 1980 Series toutes versions antérieures à V1984
  • NX 1980 Series toutes versions antérieures à V1988
  • PSS(R)E V34 toutes versions antérieures à V34.9.1
  • PSS(R)E V35 toutes versions antérieures à V35.3.2
  • PSS(R)ODMS V12 toutes versions antérieures à V12.2.6.1
  • SCALANCE W1750D toutes versions antérieures à V8.7.1.3
  • SENTRON powermanager V3 toutes versions
  • SICAM 230 toutes versions
  • SIMATIC Information Server toutes versions >= V2019 SP1
  • SIMATIC PCS 7 V8.2 toutes versions
  • SIMATIC PCS 7 V9.0 toutes versions
  • SIMATIC PCS 7 V9.1 toutes versions
  • SIMATIC RTLS Locating Manager toutes versions antérieures à V2.12
  • SIMATIC WinCC OA V3.17 toutes versions
  • SIMATIC WinCC OA V3.18 toutes versions
  • SIMATIC WinCC V15 toutes versions
  • SIMATIC WinCC V16 toutes versions
  • SIMATIC WinCC V17 toutes versions
  • SIMATIC WinCC V7.4 toutes versions
  • SIMATIC WinCC V7.5 toutes versions antérieures à V7.5 SP2 Update 5
  • Siveillance Video DLNA Server 2019 R1, 2019 R2, 2019 R3
  • Siveillance Video DLNA Server 2020 R1, 2020 R2, 2020 R3
  • Siveillance Video DLNA Server 2021 R1
  • TALON TC Compact (BACnet) toutes versions
  • TALON TC Modular (BACnet) toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 novembre 2021
    Version initiale