S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 avril 2023
N° CERTFR-2023-AVI-0298
Affaire suivie par: CERT-FR
le 11 avril 2023

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2023-AVI-0298
Titre [SCADA] Multiples vulnérabilités dans les produits Siemens
Date de la première version 11 avril 2023
Date de la dernière version 11 avril 2023
Source(s) Bulletin de sécurité Siemens ssa-116924 du 11 avril 2023
Bulletin de sécurité Siemens ssa-322980 du 11 avril 2023
Bulletin de sécurité Siemens ssa-472454 du 11 avril 2023
Bulletin de sécurité Siemens ssa-479249 du 11 avril 2023
Bulletin de sécurité Siemens ssa-511182 du 11 avril 2023
Bulletin de sécurité Siemens ssa-558014 du 11 avril 2023
Bulletin de sécurité Siemens ssa-566905 du 11 avril 2023
Bulletin de sécurité Siemens ssa-572164 du 11 avril 2023
Bulletin de sécurité Siemens ssa-603476 du 11 avril 2023
Bulletin de sécurité Siemens ssa-629917 du 11 avril 2023
Bulletin de sécurité Siemens ssa-632164 du 11 avril 2023
Bulletin de sécurité Siemens ssa-642810 du 11 avril 2023
Bulletin de sécurité Siemens ssa-691715 du 11 avril 2023
Bulletin de sécurité Siemens ssa-699404 du 11 avril 2023
Bulletin de sécurité Siemens ssa-813746 du 11 avril 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Systèmes affectés

  • TIA Portal V15, V16 et V17
  • TIA Portal V18 versions antérieures à V18 Update 1
  • CP-8031 MASTER MODULE (6MF2803-1AA00) et CP-8050 MASTER MODULE (6MF2805-0AA00) versions antérieures à CPCI85 V05
  • SCALANCE XCM332 (6GK5332-0GA01-2AC2) versions antérieures à V2.2
  • Solid Edge SE2023 avec KeyShot 11 versions antérieures à V2023.1
  • SIMATIC CP 343-1 Advanced versions antérieures à V3.0.53
  • SIMATIC CP 443-1 Advanced versions antérieures à V3.2.17
  • SIMATIC S7-300 CPU family versions antérieures à V3.X.18
  • SIMATIC S7-400 PN/DP CPU family
  • JT2Go versions antérieures à V14.2.0.2
  • Teamcenter Visualization V13.2 versions antérieures à V13.2.0.13
  • Teamcenter Visualization V13.3 versions antérieures à V13.3.0.9
  • Teamcenter Visualization V14.0 versions antérieures à V14.0.0.5
  • Teamcenter Visualization V14.1 versions antérieures à V14.1.0.7
  • Teamcenter Visualization V14.2 versions antérieures à V14.2.0.2
  • Polarion ALM versions antérieures à V2304.0
  • JT Open versions antérieures à V11.3.2.0
  • JT Utilities versions antérieures à V13.3.0.0
  • OpenPCS 7 V9.1
  • TeleControl Server Basic V3
  • Mendix Forgot Password (Mendix 7 compatible) versions antérieures à V3.7.1
  • Mendix Forgot Password (Mendix 8 compatible) versions antérieures à V4.1.1
  • Mendix Forgot Password (Mendix 9 compatible) versions antérieures à V5.1.1
  • De nombreuses références SIPROTEC, SCALANCE, SIMATIC et SIPLUS, se référer aux bulletins de sécurité de l'éditeur pour la liste complète

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 avril 2023
    Version initiale