S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 février 2024
N° CERTFR-2024-AVI-0119
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2024-AVI-0119
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version13 février 2024
Date de la dernière version13 février 2024
Source(s) Bulletin de sécurité Siemens SSA-000072 du 13 février 2024
Bulletin de sécurité Siemens SSA-017796 du 13 février 2024
Bulletin de sécurité Siemens SSA-108696 du 13 février 2024
Bulletin de sécurité Siemens SSA-516818 du 13 février 2024
Bulletin de sécurité Siemens SSA-543502 du 13 février 2024
Bulletin de sécurité Siemens SSA-580228 du 13 février 2024
Bulletin de sécurité Siemens SSA-602936 du 13 février 2024
Bulletin de sécurité Siemens SSA-647068 du 13 février 2024
Bulletin de sécurité Siemens SSA-665034 du 13 février 2024
Bulletin de sécurité Siemens SSA-716164 du 13 février 2024
Bulletin de sécurité Siemens SSA-753746 du 13 février 2024
Bulletin de sécurité Siemens SSA-797296 du 13 février 2024
Bulletin de sécurité Siemens SSA-806742 du 13 février 2024
Bulletin de sécurité Siemens SSA-871717 du 13 février 2024
Bulletin de sécurité Siemens SSA-943925 du 13 février 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur
  • Élévation de privilèges

Systèmes affectés

  • Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) versions antérieures à V4.3
  • Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) versions antérieures à V4.3
  • Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) versions antérieures à V4.3
  • Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) versions antérieures à V4.3
  • Location Intelligence SUS Large (9DE5110-8CA13-1BX0) versions antérieures à V4.3
  • Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) versions antérieures à V4.3
  • Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) versions antérieures à V4.3
  • Location Intelligence SUS Small (9DE5110-8CA11-1BX0) versions antérieures à V4.3
  • Parasolid V35.0 versions antérieures à V35.0.263
  • Parasolid V35.1 versions antérieures à V35.1.252
  • Parasolid V36.0 versions antérieures à V36.0.198
  • RUGGEDCOM APE1808 avec Nozomi Guardian / CMC antérieures à 23.3.0
  • SCALANCE SC622-2C (6GK5622-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE SC626-2C (6GK5626-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE SC632-2C (6GK5632-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE SC636-2C (6GK5636-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE SC642-2C (6GK5642-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE SC646-2C (6GK5646-2GS00-2AC2) versions antérieures à V3.1
  • SCALANCE XCH328 (6GK5328-4TS01-2EC2) versions antérieures à V2.4
  • SCALANCE XCM324 (6GK5324-8TS01-2AC2) versions antérieures à V2.4
  • SCALANCE XCM328 (6GK5328-4TS01-2AC2) versions antérieures à V2.4
  • SCALANCE XCM332 (6GK5332-0GA01-2AC2) versions antérieures à V2.4
  • SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) versions antérieures à V2.4
  • SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) versions antérieures à V2.4
  • SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) versions antérieures à V2.4
  • SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) versions antérieures à V2.4
  • SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) versions antérieures à V2.4
  • SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) versions antérieures à V2.4
  • SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) versions antérieures à V2.4
  • SIDIS Prime versions antérieures à V4.0.400
  • SIMATIC WinCC V7.5 versions antérieures à V7.5 SP2 Update 15
  • SIMATIC WinCC V8.0 versions antérieures à V8.0 SP4
  • Simcenter Femap versions antérieures à V2401.0000
  • SINEC NMS versions antérieures à V2.0 SP1
  • Tecnomatix Plant Simulation V2201 versions antérieures à V2201.0012
  • Tecnomatix Plant Simulation V2302 versions antérieures à V2302.0006

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une élévation de privilèges et une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 février 2024
    Version initiale