Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) versions antérieures à V2.1
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) toutes versions
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) toutes versions
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) toutes versions
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) versions V2.x versions antérieures à V2.1
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) versions V2.x versions antérieures à V2.1
- SIMATIC S7-400 CPU 412-2 PN V7 (6ES7412-2EK07-0AB0) versions antérieures à V7.0.3
- SIMATIC S7-400 CPU 414-3 PN/DP V7 (6ES7414-3EM07-0AB0) versions antérieures à V7.0.3
- SIMATIC S7-400 CPU 414F-3 PN/DP V7 (6ES7414-3FM07-0AB0) versions antérieures à V7.0.3
- SIMATIC S7-400 CPU 416-3 PN/DP V7 (6ES7416-3ES07-0AB0) versions antérieures à V7.0.3
- SIMATIC S7-400 CPU 416F-3 PN/DP V7 (6ES7416-3FS07-0AB0) versions antérieures à V7.0.3
- SINEC NMS versions antérieures à V1.0.3.1
- Siveillance Video 2020 R2 versions antérieures à V20.2 HotfixRev14
- Siveillance Video 2020 R3 versions antérieures à V20.3 HotfixRev12
- Siveillance Video 2021 R1 versions antérieures à V21.1 HotfixRev12
- Siveillance Video 2021 R2 versions antérieures à V21.2 HotfixRev8
- Siveillance Video 2022 R1 versions antérieures à V22.1 HotfixRev7
- Siveillance Video 2022 R2 versions antérieures à V22.2 HotfixRev5
- Siveillance Video 2022 R3 versions antérieures à V22.3 HotfixRev2
- Siveillance Video 2023 R1 versions antérieures à V23.1 HotfixRev1
- Solid Edge SE2023 versions antérieures à VX.223.0 Update 3
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service, une atteinte à l'intégrité des données, un contournement de la politique de sécurité, une atteinte à la confidentialité des données, un déni de service à distance et une exécution de code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens SSA-325383 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-789345.html
- Bulletin de sécurité Siemens SSA-473245 du 08 octobre 2019 https://cert-portal.siemens.com/productcert/html/ssa-473245.html
- Bulletin de sécurité Siemens SSA-516174 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-555292.html
- Bulletin de sécurité Siemens SSA-555292 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-932528.html
- Bulletin de sécurité Siemens SSA-789345 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-516174.html
- Bulletin de sécurité Siemens SSA-892048 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-325383.html
- Bulletin de sécurité Siemens SSA-932528 du 09 mai 2023 https://cert-portal.siemens.com/productcert/html/ssa-892048.html
- Référence CVE CVE-2019-10936 https://www.cve.org/CVERecord?id=CVE-2019-10936
- Référence CVE CVE-2022-32221 https://www.cve.org/CVERecord?id=CVE-2022-32221
- Référence CVE CVE-2022-35252 https://www.cve.org/CVERecord?id=CVE-2022-35252
- Référence CVE CVE-2022-35260 https://www.cve.org/CVERecord?id=CVE-2022-35260
- Référence CVE CVE-2022-40674 https://www.cve.org/CVERecord?id=CVE-2022-40674
- Référence CVE CVE-2022-42915 https://www.cve.org/CVERecord?id=CVE-2022-42915
- Référence CVE CVE-2022-42916 https://www.cve.org/CVERecord?id=CVE-2022-42916
- Référence CVE CVE-2022-43551 https://www.cve.org/CVERecord?id=CVE-2022-43551
- Référence CVE CVE-2022-43552 https://www.cve.org/CVERecord?id=CVE-2022-43552
- Référence CVE CVE-2022-43680 https://www.cve.org/CVERecord?id=CVE-2022-43680
- Référence CVE CVE-2022-47522 https://www.cve.org/CVERecord?id=CVE-2022-47522
- Référence CVE CVE-2023-0973 https://www.cve.org/CVERecord?id=CVE-2023-0973
- Référence CVE CVE-2023-27407 https://www.cve.org/CVERecord?id=CVE-2023-27407
- Référence CVE CVE-2023-27408 https://www.cve.org/CVERecord?id=CVE-2023-27408
- Référence CVE CVE-2023-27409 https://www.cve.org/CVERecord?id=CVE-2023-27409
- Référence CVE CVE-2023-27410 https://www.cve.org/CVERecord?id=CVE-2023-27410
- Référence CVE CVE-2023-28832 https://www.cve.org/CVERecord?id=CVE-2023-28832
- Référence CVE CVE-2023-29103 https://www.cve.org/CVERecord?id=CVE-2023-29103
- Référence CVE CVE-2023-29104 https://www.cve.org/CVERecord?id=CVE-2023-29104
- Référence CVE CVE-2023-29105 https://www.cve.org/CVERecord?id=CVE-2023-29105
- Référence CVE CVE-2023-29106 https://www.cve.org/CVERecord?id=CVE-2023-29106
- Référence CVE CVE-2023-29107 https://www.cve.org/CVERecord?id=CVE-2023-29107
- Référence CVE CVE-2023-29128 https://www.cve.org/CVERecord?id=CVE-2023-29128
- Référence CVE CVE-2023-30898 https://www.cve.org/CVERecord?id=CVE-2023-30898
- Référence CVE CVE-2023-30899 https://www.cve.org/CVERecord?id=CVE-2023-30899
- Référence CVE CVE-2023-30985 https://www.cve.org/CVERecord?id=CVE-2023-30985
- Référence CVE CVE-2023-30986 https://www.cve.org/CVERecord?id=CVE-2023-30986
