S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 avril 2022
N° CERTFR-2022-AVI-329
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SIEMENS

Gestion du document

Référence CERTFR-2022-AVI-329
Titre Multiples vulnérabilités dans les produits SIEMENS
Date de la première version12 avril 2022
Date de la dernière version12 avril 2022
Source(s) Bulletin de sécurité Siemens ssa-316850 du 12 avril 2022
Bulletin de sécurité Siemens ssa-350757 du 12 avril 2022
Bulletin de sécurité Siemens ssa-392912 du 12 avril 2022
Bulletin de sécurité Siemens ssa-414513 du 12 avril 2022
Bulletin de sécurité Siemens ssa-446448 du 12 avril 2022
Bulletin de sécurité Siemens ssa-557541 du 12 avril 2022
Bulletin de sécurité Siemens ssa-655554 du 12 avril 2022
Bulletin de sécurité Siemens ssa-711829 du 12 avril 2022
Bulletin de sécurité Siemens ssa-836527 du 12 avril 2022
Bulletin de sécurité Siemens ssa-870917 du 12 avril 2022
Bulletin de sécurité Siemens ssa-998762 du 12 avril 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Gamme SIMATIC S7-1500 (y compris CPUs ET200 et variantes SIPLUS) versions antérieures à V2.0.0
  • Gamme SIMATIC S7-300 (y compris CPUs ET200 et variantes SIPLUS) toutes versions
  • Gamme SIMATIC S7-400 H V6 (y compris variantes SIPLUS) versions antérieures à V6.0.10
  • Gamme SIMATIC S7-400 PN/DP V7 (y compris variantes SIPLUS) toutes versions
  • Gamme SIMATIC S7-410 V10 (y compris variantes SIPLUS) toutes versions
  • Gamme SIMATIC S7-410 V8 (y compris variantes SIPLUS) toutes versions
  • Mendix Applications using Mendix 7 versions antérieures à V7.23.27 (ne corrige pas toutes les CVE)
  • Mendix Applications using Mendix 8 versions antérieures à V8.18.14 (ne corrige pas toutes les CVE)
  • Mendix Applications using Mendix 9 versions antérieures à V9.12.0
  • SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) versions antérieures à V3.0.0
  • SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) versions antérieures à V3.0.0
  • SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) versions antérieures à V3.0.0
  • SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) versions antérieures à V3.0.0
  • SCALANCE X302-7 EEC versions antérieures à V4.1.4
  • SCALANCE X304-2FE (6GK5304-2BD00-2AA3) versions antérieures à V4.1.4
  • SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) versions antérieures à V4.1.4
  • SCALANCE X307-2 EEC versions antérieures à V4.1.4
  • SCALANCE X307-3 versions antérieures à V4.1.4
  • SCALANCE X307-3LD versions antérieures à V4.1.4
  • SCALANCE X308-2 versions antérieures à V4.1.4
  • SCALANCE X308-2LD versions antérieures à V4.1.4
  • SCALANCE X308-2LH versions antérieures à V4.1.4
  • SCALANCE X308-2LH+ versions antérieures à V4.1.4
  • SCALANCE X308-2M PoE versions antérieures à V4.1.4
  • SCALANCE X308-2M TS versions antérieures à V4.1.4
  • SCALANCE X308-2M versions antérieures à V4.1.4
  • SCALANCE X310 versions antérieures à V4.1.4
  • SCALANCE X310FE versions antérieures à V4.1.4
  • SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) versions antérieures à V4.1.4
  • SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) versions antérieures à V4.1.4
  • SCALANCE X408-2 (6GK5408-2FD00-2AA2) versions antérieures à V4.1.4
  • SCALANCE XR324-12M TS versions antérieures à V4.1.4
  • SCALANCE XR324-12M versions antérieures à V4.1.4
  • SCALANCE XR324-4M EEC versions antérieures à V4.1.4
  • SCALANCE XR324-4M PoE TS versions antérieures à V4.1.4
  • SICAM A8000 CP-8031 (6MF2803-1AA00) versions antérieures à V4.80
  • SICAM A8000 CP-8050 (6MF2805-0AA00) versions antérieures à V4.80
  • SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) toutes versions
  • SIMATIC CFU PA (6ES7655-5PX11-0XX0) toutes versions
  • SIMATIC Energy Manager Basic versions antérieures à V7.3 Update 1
  • SIMATIC Energy Manager PRO versions antérieures à V7.3 Update 1
  • SIMATIC PCS neo (Administration Console) versions antérieures à V3.1 SP1
  • SIMATIC STEP 7 (TIA Portal) V15 toutes versions
  • SIMATIC STEP 7 (TIA Portal) versions antérieures à V16 Update 5
  • SIMATIC STEP 7 (TIA Portal) versions antérieures à V17 Update 2
  • SIMATIC TDC CP51M1 toutes versions
  • SIMATIC TDC CPU555 toutes versions
  • SIMATIC WinAC RTX toutes versions
  • Simcenter Femap versions antérieures à V2022.1.
  • SIMIT Simulation Platform toutes versions
  • SINETPLAN toutes versions
  • SIPLUS NET SCALANCE X308-2 (6AG1308-2FL10-4AA3) versions antérieures à V4.1.4
  • TIA Portal V15, V15.1, V16 et V17

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SIEMENS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 avril 2022
    Version initiale