Risque(s)

  • exécution de code arbitraire à distance
  • contournement de la politique de sécurité
  • atteinte à la confidentialité des données
  • injection de code indirecte à distance
  • déni de service à distance

Systèmes affectés

  • Siemens WinCC V7.3 sans la mise à jour de sécurité U10
  • Siemens WinCC V7.4 sans la mise à jour de sécurité U1
  • Siemens PCS 7 V8.1 SP1 avec WinCC V7.3 sans la mise à jour de sécurité U10, SIMATIC BATCH V8.1 SP1 sans la mise à jour de sécurité U9, OpenPCS 7 V8.1 sans la mise à jour de sécurité U3
  • Siemens PCS 7 V8.2 avec WinCC V7.4 sans la mise à jour de sécurité U1, OpenPCS 7 V8.2 sans la mise à jour de sécurité U3
  • Siemens WinCC Runtime Professional V13 versions antérieures à WinCC Runtime Professional V13 SP1 U9
  • Siemens SINEMA Remote Connect Server versions antérieures à 1.2
  • Siemens SIMATIC NET PC-Software versions antérieures à V13 SP2

Résumé

De multiples vulnérabilités ont été corrigées dans SCADA les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation