Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
Systèmes affectés
- SCALANCE W700 802.11 AX versions antérieures à V2.4.0
- SICAM SCC versions antérieures à V10.0
- SIMATIC BATCH V9.1 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC CP 1242-7 V2 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-7 LTE versions antérieures à V3.5.20
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) versions antérieures à V3.5.20
- SIMATIC HMI Comfort Panels (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC Information Server 2020 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Information Server 2024 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC IPC DiagBase toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC IPC DiagMonitor toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC PCS 7 V9.1 toutes versions
- SIMATIC PCS neo V4.0 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-33698.
- SIMATIC PCS neo V4.1 versions antérieures à V4.1 Update 2
- SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC Process Historian 2020 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Process Historian 2022 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Reader RF610R CMIIT (6GT2811-6BC10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF610R ETSI (6GT2811-6BC10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF610R FCC (6GT2811-6BC10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R CMIIT (6GT2811-6CC10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R ETSI (6GT2811-6CC10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R FCC (6GT2811-6CC10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R ARIB (6GT2811-6AB20-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R CMIIT (6GT2811-6AB20-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R ETSI (6GT2811-6AB20-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R FCC (6GT2811-6AB20-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R ARIB (6GT2811-6AA10-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R CMIIT (6GT2811-6AA10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R ETSI (6GT2811-6AA10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R FCC (6GT2811-6AA10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R ARIB (6GT2811-6CA10-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R CMIIT (6GT2811-6CA10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R ETSI (6GT2811-6CA10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R FCC (6GT2811-6CA10-1AA0) versions antérieures à V4.2
- SIMATIC RF1140R (6GT2831-6CB00) versions antérieures à V1.1
- SIMATIC RF1170R (6GT2831-6BB00) versions antérieures à V1.1
- SIMATIC RF166C (6GT2002-0EE20) versions antérieures à V2.2
- SIMATIC RF185C (6GT2002-0JE10) versions antérieures à V2.2
- SIMATIC RF186C (6GT2002-0JE20) versions antérieures à V2.2
- SIMATIC RF186CI (6GT2002-0JE50) versions antérieures à V2.2
- SIMATIC RF188C (6GT2002-0JE40) versions antérieures à V2.2
- SIMATIC RF188CI (6GT2002-0JE60) versions antérieures à V2.2
- SIMATIC RF360R (6GT2801-5BA30) versions antérieures à V2.2
- SIMATIC S7-200 SMART toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-43647.
- SIMATIC WinCC Runtime Advanced toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC WinCC Runtime Professional V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
- SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC Runtime Professional V20 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V7.4 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-35783.
- SIMATIC WinCC V7.4 toutes versionswith installed WebRH. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
- SIMATIC WinCC V7.5 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V7.5 versions antérieures à V7.5 SP2 Update 18
- SIMATIC WinCC V8.0 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V8.0 versions antérieures à V8.0 Update 5
- Totally Integrated Automation Portal (TIA Portal) V16 toutes versions pour la vulnérabilité CVE-2024-33698
- Totally Integrated Automation Portal (TIA Portal) V17 versions antérieures à V17 Update 8
- Totally Integrated Automation Portal (TIA Portal) V18 toutes versions
- Totally Integrated Automation Portal (TIA Portal) V19 toutes versions
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens SSA-039007 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-039007.html
- Bulletin de sécurité Siemens SSA-423808 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-423808.html
- Bulletin de sécurité Siemens SSA-629254 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-629254.html
- Bulletin de sécurité Siemens SSA-673996 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-673996.html
- Bulletin de sécurité Siemens SSA-721642 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-721642.html
- Bulletin de sécurité Siemens SSA-765405 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-765405.html
- Bulletin de sécurité Siemens SSA-773256 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-773256.html
- Bulletin de sécurité Siemens SSA-969738 du 10 septembre 2024 https://cert-portal.siemens.com/productcert/html/ssa-969738.html
- Référence CVE CVE-2023-28827 https://www.cve.org/CVERecord?id=CVE-2023-28827
- Référence CVE CVE-2023-30755 https://www.cve.org/CVERecord?id=CVE-2023-30755
- Référence CVE CVE-2023-30756 https://www.cve.org/CVERecord?id=CVE-2023-30756
- Référence CVE CVE-2023-44373 https://www.cve.org/CVERecord?id=CVE-2023-44373
- Référence CVE CVE-2024-33698 https://www.cve.org/CVERecord?id=CVE-2024-33698
- Référence CVE CVE-2024-34057 https://www.cve.org/CVERecord?id=CVE-2024-34057
- Référence CVE CVE-2024-35783 https://www.cve.org/CVERecord?id=CVE-2024-35783
- Référence CVE CVE-2024-37990 https://www.cve.org/CVERecord?id=CVE-2024-37990
- Référence CVE CVE-2024-37991 https://www.cve.org/CVERecord?id=CVE-2024-37991
- Référence CVE CVE-2024-37992 https://www.cve.org/CVERecord?id=CVE-2024-37992
- Référence CVE CVE-2024-37993 https://www.cve.org/CVERecord?id=CVE-2024-37993
- Référence CVE CVE-2024-37994 https://www.cve.org/CVERecord?id=CVE-2024-37994
- Référence CVE CVE-2024-37995 https://www.cve.org/CVERecord?id=CVE-2024-37995
- Référence CVE CVE-2024-38355 https://www.cve.org/CVERecord?id=CVE-2024-38355
- Référence CVE CVE-2024-43647 https://www.cve.org/CVERecord?id=CVE-2024-43647