S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 février 2023
N° CERTFR-2023-AVI-0121
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2023-AVI-0121
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version14 février 2023
Date de la dernière version14 février 2023
Source(s) Bulletin de sécurité [SCADA] Siemens SSA-252808 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-450613 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-491245 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-565356 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-617755 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-640968 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-658793 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-686975 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-693110 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-744259 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-836777 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-847261 du 14 février 2023
Bulletin de sécurité [SCADA] Siemens SSA-953464 du 14 février 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Applications utilisant Mendix versions 7 antérieures à V7.23.34
  • Applications utilisant Mendix versions 8 antérieures à V8.18.23
  • Applications utilisant Mendix versions 9 (V9.12) antérieures à V9.12.10
  • Applications utilisant Mendix versions 9 (V9.18) antérieures à V9.18.4
  • Applications utilisant Mendix versions 9 (V9.6) antérieures à V9.6.15
  • Applications utilisant Mendix versions 9 antérieures à V9.22.0
  • Brownfield Connectivity - Client versions antérieures à V2.15
  • Brownfield Connectivity - Gateway versions antérieures à V1.11
  • COMOS V10.2 toutes les versions
  • COMOS V10.3.3.1 versions antérieures à V10.3.3.1.45
  • COMOS V10.3.3.2 versions antérieures à V10.3.3.2.33
  • COMOS V10.3.3.3 versions antérieures à V10.3.3.3.9
  • COMOS V10.3.3.4 versions antérieures à V10.3.3.4.6
  • COMOS V10.4.0.0 versions antérieures à V10.4.0.0.31
  • COMOS V10.4.1.0 versions antérieures à V10.4.1.0.32
  • COMOS V10.4.2.0 versions antérieures à V10.4.2.0.25
  • Famille de produits RUGGEDCOM APE1808 toutes les versions
  • Famille de produits SIMATIC Field PG, SIMATIC IPC et SIMATIC ITP toutes les versions
  • JT Open versions antérieures à V11.2.3.0
  • JT Utilities versions antérieures à V13.2.3.0
  • Parasolid V34.0 versions antérieures à V34.0.254
  • Parasolid V34.1 versions antérieures à V34.1.242
  • Parasolid V35.0 versions antérieures à V35.0.170
  • Parasolid V35.1 versions antérieures à V35.1.150
  • SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) versions antérieures à V5.5.0
  • SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) versions antérieures à V5.5.0
  • SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) versions antérieures à V5.5.0
  • SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) versions antérieures à V5.5.0
  • SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) versions antérieures à V5.5.0
  • SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) versions antérieures à V5.5.0
  • SCALANCE X204IRT (6GK5204-0BA00-2BA3) versions antérieures à V5.5.0
  • SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) versions antérieures à V5.5.0
  • SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) versions antérieures à V5.5.0
  • SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) versions antérieures à V5.5.0
  • SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) versions antérieures à V5.5.0
  • SCALANCE XF204IRT (6GK5204-0BA00-2BF2) versions antérieures à V5.5.0
  • Simcenter Femap versions antérieures à V2023.1
  • SiPass integrated AC5102 (ACC-G2) versions antérieures à V2.85.44
  • SiPass integrated ACC-AP versions antérieures à V2.85.43
  • SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) versions antérieures à V5.5.0
  • Solid Edge SE2023 versions antérieures à V2023Update2
  • Tecnomatix Plant Simulation versions antérieures à V2201.0006
  • TIA Multiuser Server V14 toutes les versions
  • TIA Multiuser Server V15 versions antérieures à V15.1 Update 8
  • TIA Multiuser Server V16 toutes les versions
  • TIA Multiuser Server V17 toutes les versions
  • TIA Project-Server versions antérieures à V1.1

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Siemens. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 février 2023
    Version initiale