S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 septembre 2024
N° CERTFR-2024-AVI-0757
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2024-AVI-0757
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version 10 septembre 2024
Date de la dernière version 10 septembre 2024
Source(s) Bulletin de sécurité Siemens SSA-039007 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-423808 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-629254 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-673996 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-721642 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-765405 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-773256 du 10 septembre 2024
Bulletin de sécurité Siemens SSA-969738 du 10 septembre 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Non spécifié par l'éditeur

Systèmes affectés

  • SCALANCE W700 802.11 AX versions antérieures à V2.4.0
  • SICAM SCC versions antérieures à V10.0
  • SIMATIC BATCH V9.1 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC CP 1242-7 V2 (incl. SIPLUS variants) versions antérieures à V3.5.20
  • SIMATIC CP 1243-1 (incl. SIPLUS variants) versions antérieures à V3.5.20
  • SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) versions antérieures à V3.5.20
  • SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) versions antérieures à V3.5.20
  • SIMATIC CP 1243-7 LTE versions antérieures à V3.5.20
  • SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) versions antérieures à V3.5.20
  • SIMATIC HMI Comfort Panels (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
  • SIMATIC Information Server 2020 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-33698
  • SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC Information Server 2024 toutes versions pour la vulnérabilité CVE-2024-33698
  • SIMATIC IPC DiagBase toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
  • SIMATIC IPC DiagMonitor toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
  • SIMATIC PCS 7 V9.1 toutes versions
  • SIMATIC PCS neo V4.0 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-33698.
  • SIMATIC PCS neo V4.1 versions antérieures à V4.1 Update 2
  • SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-33698
  • SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC Process Historian 2020 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC Process Historian 2022 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC Reader RF610R CMIIT (6GT2811-6BC10-2AA0) versions antérieures à V4.2
  • SIMATIC Reader RF610R ETSI (6GT2811-6BC10-0AA0) versions antérieures à V4.2
  • SIMATIC Reader RF610R FCC (6GT2811-6BC10-1AA0) versions antérieures à V4.2
  • SIMATIC Reader RF615R CMIIT (6GT2811-6CC10-2AA0) versions antérieures à V4.2
  • SIMATIC Reader RF615R ETSI (6GT2811-6CC10-0AA0) versions antérieures à V4.2
  • SIMATIC Reader RF615R FCC (6GT2811-6CC10-1AA0) versions antérieures à V4.2
  • SIMATIC Reader RF650R ARIB (6GT2811-6AB20-4AA0) versions antérieures à V4.2
  • SIMATIC Reader RF650R CMIIT (6GT2811-6AB20-2AA0) versions antérieures à V4.2
  • SIMATIC Reader RF650R ETSI (6GT2811-6AB20-0AA0) versions antérieures à V4.2
  • SIMATIC Reader RF650R FCC (6GT2811-6AB20-1AA0) versions antérieures à V4.2
  • SIMATIC Reader RF680R ARIB (6GT2811-6AA10-4AA0) versions antérieures à V4.2
  • SIMATIC Reader RF680R CMIIT (6GT2811-6AA10-2AA0) versions antérieures à V4.2
  • SIMATIC Reader RF680R ETSI (6GT2811-6AA10-0AA0) versions antérieures à V4.2
  • SIMATIC Reader RF680R FCC (6GT2811-6AA10-1AA0) versions antérieures à V4.2
  • SIMATIC Reader RF685R ARIB (6GT2811-6CA10-4AA0) versions antérieures à V4.2
  • SIMATIC Reader RF685R CMIIT (6GT2811-6CA10-2AA0) versions antérieures à V4.2
  • SIMATIC Reader RF685R ETSI (6GT2811-6CA10-0AA0) versions antérieures à V4.2
  • SIMATIC Reader RF685R FCC (6GT2811-6CA10-1AA0) versions antérieures à V4.2
  • SIMATIC RF1140R (6GT2831-6CB00) versions antérieures à V1.1
  • SIMATIC RF1170R (6GT2831-6BB00) versions antérieures à V1.1
  • SIMATIC RF166C (6GT2002-0EE20) versions antérieures à V2.2
  • SIMATIC RF185C (6GT2002-0JE10) versions antérieures à V2.2
  • SIMATIC RF186C (6GT2002-0JE20) versions antérieures à V2.2
  • SIMATIC RF186CI (6GT2002-0JE50) versions antérieures à V2.2
  • SIMATIC RF188C (6GT2002-0JE40) versions antérieures à V2.2
  • SIMATIC RF188CI (6GT2002-0JE60) versions antérieures à V2.2
  • SIMATIC RF360R (6GT2801-5BA30) versions antérieures à V2.2
  • SIMATIC S7-200 SMART toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-43647.
  • SIMATIC WinCC Runtime Advanced toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
  • SIMATIC WinCC Runtime Professional V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
  • SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-35783
  • SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC WinCC Runtime Professional V20 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC WinCC V7.4 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-35783.
  • SIMATIC WinCC V7.4 toutes versionswith installed WebRH. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
  • SIMATIC WinCC V7.5 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC WinCC V7.5 versions antérieures à V7.5 SP2 Update 18
  • SIMATIC WinCC V8.0 toutes versions pour la vulnérabilité CVE-2024-38355
  • SIMATIC WinCC V8.0 versions antérieures à V8.0 Update 5
  • Totally Integrated Automation Portal (TIA Portal) V16 toutes versions pour la vulnérabilité CVE-2024-33698
  • Totally Integrated Automation Portal (TIA Portal) V17 versions antérieures à V17 Update 8
  • Totally Integrated Automation Portal (TIA Portal) V18 toutes versions
  • Totally Integrated Automation Portal (TIA Portal) V19 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 septembre 2024
    Version initiale