S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 juillet 2022
N° CERTFR-2022-AVI-627
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2022-AVI-627
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version12 juillet 2022
Date de la dernière version12 juillet 2022
Source(s) Bulletin de sécurité Siemens ssa-225578 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-243317 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-310038 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-348662 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-429204 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-433782 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-439148 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-474231 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-491621 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-492173 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-517377 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-580125 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-599506 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-610768 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-829738 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-840800 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-865333 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-910883 du 12 juillet 2022
Bulletin de sécurité Siemens ssa-944952 du 12 juillet 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • CP-8000 MASTER MODULE WITH I/O -25/+70°C (6MF2101-0AB10-0AA0) versions antérieures à CPC80 V16.30
  • CP-8000 MASTER MODULE WITH I/O -40/+70°C (6MF2101-1AB10-0AA0) versions antérieures à CPC80 V16.30
  • CP-8021 MASTER MODULE (6MF2802-1AA00) versions antérieures à CPC80 V16.30
  • CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00) versions antérieures à CPC80 V16.30
  • Disques SINAMICS PERFECT HARMONY GH180 Drives fabriqués depuis 2015 avant 2021
  • EN100 Ethernet module DNP3 IP variant toutes versions
  • EN100 Ethernet module IEC 104 variant toutes versions
  • EN100 Ethernet module IEC 61850 variant versions antérieures à 4.40
  • EN100 Ethernet module Modbus TCP variant toutes versions
  • EN100 Ethernet module PROFINET IO variant toutes versions
  • JT2Go versions antérieures à 13.3.0.5
  • Mendix Applications using Mendix 9 versions 9.12 antérieure à 9.12.3
  • Mendix Applications using Mendix 9 versions supérieures ou égales à 9.11 et antérieures à 9.15
  • Mendix Applications using Mendix versions 7 antérieures à 7.23.31
  • Mendix Applications using Mendix versions 8 antérieures à 8.18.18
  • Mendix Applications using Mendix versions 9 (9.12) antérieures à 9.12.2
  • Mendix Applications using Mendix versions 9 (9.6) antérieures à 9.6.12
  • Mendix Applications using Mendix versions 9 antérieures à 9.14.0
  • Mendix Excel Importer Module (Mendix 8 compatible) versions antérieures à 9.2.2
  • Mendix Excel Importer Module (Mendix 9 compatible) versions antérieures à 10.1.2
  • Opcenter Quality versions 13.1 antérieures à 13.1.20220624
  • Opcenter Quality versions 13.2 antérieures à 13.2.20220624
  • PADS Standard/Plus Viewer toutes versions
  • Parasolid V33.1 toutes versions
  • Parasolid V34.0 versions antérieures à 34.0.250
  • Parasolid V34.1 versions antérieures à 34.1.233
  • RUGGEDCOM ROS toutes versions : Se référer à l'avis éditeur pour la liste exacte des produits RUGGEDCOM concernés et des correctifs disponibles
  • RUGGEDCOM ROX MX5000 à RX5000 versions antérieures à 2.15.1
  • SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) à SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) toutes versions : Se référer à l'avis éditeur pour la liste exacte des produits SCALANCE concernés et des correctifs disponibles
  • SICAM GridEdge Essential ARM (6MD7881-2AA30) toutes versions
  • SICAM GridEdge Essential Intel (6MD7881-2AA40) versions antérieures à 2.7.3
  • SICAM GridEdge Essential with GDS ARM (6MD7881-2AA10) toutes versions
  • SICAM GridEdge Essential with GDS Intel (6MD7881-2AA20) versions antérieures à 2.7.3
  • SIMATIC CP 1242-7 V2 (6GK7242-7KX31-0XE0) à SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) toutes versions
  • SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) versions antérieures à 2.0
  • SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) versions antérieures à 3.0.22
  • SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) versions antérieures à 2.0
  • SIMATIC eaSie Core Package (6DL5424-0AX00-0AV8) versions antérieures à 22.00
  • SIMATIC MV540 H (6GF3540-0GE10) versions antérieures à 3.3
  • SIMATIC MV540 S (6GF3540-0CD10) versions antérieures à 3.3
  • SIMATIC MV550 H (6GF3550-0GE10) versions antérieures à 3.3
  • SIMATIC MV550 S (6GF3550-0CD10) versions antérieures à 3.3
  • SIMATIC MV560 U (6GF3560-0LE10) versions antérieures à 3.3
  • SIMATIC MV560 X (6GF3560-0HE10) versions antérieures à 3.3
  • Simcenter Femap toutes versions
  • Simcenter Femap versions antérieures à 2022.2
  • SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) versions antérieures à 2.0
  • SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) versions antérieures à 2.0
  • SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) versions antérieures à 2.0
  • SIPLUS NET CP 1242-7 V2 (6AG1242-7KX31-7XE0) toutes versions
  • SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) versions antérieures à 3.0.22
  • SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) toutes versions
  • SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) toutes versions : Se référer à l'avis éditeur pour la liste exacte des produits SIMATIC concernés et des correctifs disponibles
  • Teamcenter Visualization toutes versions 14.0.x
  • Teamcenter Visualization V12.4 toutes versions
  • Teamcenter Visualization V13.2 toutes versions
  • Teamcenter Visualization V14.0 toutes versions
  • Teamcenter Visualization versions 13.3.x antérieures à 13.3.0.5

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 juillet 2022
    Version initiale