S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 mai 2018
N° CERTFR-2018-AVI-213
Affaire suivie par: CERT-FR
le 03 mai 2018

Avis du CERT-FR

Objet: Multiples vulnérabilités dans SCADA les produits Siemens

Gestion du document

Référence CERTFR-2018-AVI-213
Titre Multiples vulnérabilités dans SCADA les produits Siemens
Date de la première version 03 mai 2018
Date de la dernière version 03 mai 2018
Source(s) Bulletin de sécurité SCADA Siemens ssa-546832 du 03 mai 2018
Bulletin de sécurité SCADA Siemens ssa-468514 du 03 mai 2018
Bulletin de sécurité SCADA Siemens ssa-457058 du 03 mai 2018
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Déni de service à distance
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Systèmes affectés

  • SINAMICS GH150 V4.7 avec PROFINET versions antérieures à V4.7 SP5 HF7 ou V4.8 SP2
  • SINAMICS GL150 V4.7 avec PROFINET versions antérieures à V4.8 SP2
  • SINAMICS GM150 V4.7 avec PROFINET versions antérieures à V4.8 SP2
  • SINAMICS SL150 V4.7.0 avec PROFINET versions antérieures à V4.7 HF30 ou V4.8 SP2
  • SINAMICS SL150 V4.7.4 avec PROFINET versions antérieures à V4.8 SP2
  • SINAMICS SL150 V4.7.5 avec PROFINET versions antérieures à V4.8 SP2
  • SINAMICS SM120 V4.7 avec PROFINET versions antérieures à V4.8 SP2
  • Siveillance VMS Video pour Android versions antérieures à V12.1a (2018 R1)
  • Siveillance VMS Video pour iOS versions antérieures à V12.1a (2018 R1)
  • Siveillance VMS 2016 R1 versions antérieures à V10.0a
  • Siveillance VMS 2016 R2 versions antérieures à V10.1a
  • Siveillance VMS 2016 R3 versions antérieures à V10.2b
  • Siveillance VMS 2017 R1 versions antérieures à V11.1a
  • Siveillance VMS 2017 R2 versions antérieures à V11.2a
  • Siveillance VMS 2018 R1 versions antérieures à V12.1a

Résumé

De multiples vulnérabilités ont été découvertes dans SCADA les produits Siemens . Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 mai 2018
    Version initiale