Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- Gamme SIMATIC ET 200 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SCALANCE LPE9413 (6GK5998-3GS01-2AC2) toutes versions pour la vulnérabilité CVE-2024-54092
- SIMATIC (et SIPLUS) S7-1200 CPU versions antérieures à V4.4
- SIMATIC (et SIPLUS) S7-1500 CPU toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC (et SIPLUS) S7-300 CPU toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) versions antérieures à V2.0.0
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) versions antérieures à V2.0.0
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC ET 200M IM 153-4 PN IO HF (6ES7153-4BA00-0XB0) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC IPC BX-39A Industrial Edge Device versions antérieures à V3.0
- SIMATIC IPC BX-59A Industrial Edge Device versions antérieures à V3.0
- SIMATIC IPC127E Industrial Edge Device versions antérieures à V3.0
- SIMATIC IPC227E Industrial Edge Device versions antérieures à V3.0
- SIMATIC IPC427E Industrial Edge Device versions antérieures à V3.0
- SIMATIC IPC847E Industrial Edge Device versions antérieures à V3.0
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0) toutes versions pour la vulnérabilité CVE-2024-23814
- SIMATIC Power Line Booster PLB, Base Module (6ES7972-5AA10-0AB0) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC Power Line Booster PLB, Modem Module ST (6ES7972-5AA51-0AB0) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC S7-400 H V6 CPU family (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC S7-410 V10 CPU family (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC S7-410 V8 CPU family (incl. SIPLUS variants) versions antérieures à V8.3
- SIMATIC TDC CP51M1 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
- SIMATIC TDC CPU555 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-23814.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens SSA-634640 du 08 avril 2025 https://cert-portal.siemens.com/productcert/html/ssa-634640.html
- Bulletin de sécurité Siemens SSA-725549 du 08 avril 2025 https://cert-portal.siemens.com/productcert/html/ssa-725549.html
- Référence CVE CVE-2024-23814 https://www.cve.org/CVERecord?id=CVE-2024-23814
- Référence CVE CVE-2024-54092 https://www.cve.org/CVERecord?id=CVE-2024-54092
